La CNIL espagnole se dresse sur la route de Google Street View

JuridiqueRégulations
street-view-espagne

Google ne contestera pas l’amende que la CNIL espagnole lui a infligée pour des collectes de données sans consentement dans le cadre du projet Street View.

L’affaire Street View n’ira pas plus loin en Espagne.

En date du 13 octobre 2017, Google a signalé à l’AEPD (Agencia española de protección de datos) qu’il ne contesterait pas la sanction qu’elle lui avait notifiée quelques semaines en amont.

L’homologue de notre CNIL a infligé au groupe Internet 300 000 euros d’amende ; soit le montant maximal pour l’infraction constatée au nom de l’article 6 de la Ley de protección de datos (équivalent de la loi informatique et libertés en France).

Le texte établit que, sauf exceptions que l’AEPD estime non applicables dans ce dossier, le traitement de données personnelles requiert le consentement « indubitable » des personnes concernées.

Les données pour lesquelles Google est pointé du doigt sont aussi bien des adresses électroniques que des fragments de conversations sur messagerie instantanée. Les voitures exploitées dans le cadre du projet de « navigation virtuelle » Street View les ont collectées sur des réseaux Wi-Fi ouverts.

Message personnel

Le verdict de l’AEPD (document PDF, 80 pages) permet de retracer l’historique de l’enquête qu’elle avait ouverte le 18 mai 2010, consécutivement à des déclarations de Google.

La firme américaine avait reconnu les faits sus-évoqués, non sans affirmer que les Opel Astra gérées pour son compte par Eurovendex (groupe Adecco) avaient recueilli les informations de manière « passive », sans possibilité de les associer à un utilisateur en particulier.

À l’époque, on parlait d’éléments diffusés publiquement sur les réseaux Wi-Fi : SSID, adresse MAC, force du signal, méthode de chiffrement, protocole et canal radio…

Au fil de son enquête, marquée par une perquisition chez Eurovendex en juillet 2010 et par trois inspections de véhicules sur site, l’AEPD a constaté que les données recueillies comprenaient également des fichiers (images, vidéos, audio, exécutables…).

Dans le lot figuraient aussi des adresses électroniques, ainsi que des messages échangés sur des services comme MSN Messenger ou Yahoo Groups, dont certains à caractère « très » personnel.

Circonstances atténuantes

Ayant pu, en s’appuyant sur les réseaux sociaux, identifier de nombreuses personnes, la CNIL espagnole avait amorcé, le 18 octobre 2010, une procédure de sanction au titre de plusieurs manquements « graves » ou « très graves » à la Ley de protección de datos.

La période considérée s’échelonne de mai 2008 à mai 2010. En d’autres termes, du lancement du projet Street View en Espagne à sa suspension « pour une durée indéfinie » à l’initiative de Google, après ses découvertes.

Le groupe américain estime qu’il avait, à ce moment-là, cartographié environ 80 % des voies publiques de la Péninsule, dont la quasi-totalité des villes de plus de 100 000 habitants.

Assurant avoir isolé toutes les données problématiques pour les rendre inaccessibles depuis son réseau, il avait expliqué à l’AEPD que des éléments comme les identifiants des réseaux Wi-Fi permettaient d’améliorer le service rendu aux utilisateurs de Google Maps, en facilitant leur géolocalisation.

Le dossier a fini par se recentrer sur une seule infraction, l’agence ayant établi des « circonstances atténuantes », tout particulièrement l’absence de bénéfice réalisé par Google et le fait que les données concernées n’aient pas été portées à la connaissance de tiers.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur