La CNIL sanctionne Google pour ses pratiques indiscrètes

5

Don’t be evil ?

La CNIL (Commission nationale de l’informatique et des libertés) a décidé de sanctionner de Google, pour plusieurs de ses pratiques jugées contraires aux droits individuels et à la vie privée.

Ce sont plusieurs infractions différentes aux droits individuels que la CNIL a décidé de sanctionner, après diverses mises en demeure, en infligeant à Google une amende de 100 000 euros.

Parmi les griefs listés dans un document officiel (PDF), la commission reproche notamment à Google d’avoir instauré un système de collecte de données personnelles avec son service de géolocalisation Google Latitude, sans avoir effectué les formalités nécessaires — autrement dit, sans déclaration préalable auprès de la CNIL…

Mais c’est surtout l’épineuse affaire des relevés effectués avec les Google Cars (« par erreur » selon la firme californienne), révélée en 2010, qui est sanctionnée ici. Les fichiers en question, fournis par Google à la CNIL, contenaient de très nombreuses données à caractère personnel, relevées sur des réseaux wifi ouverts.

La CNIL donne un aperçu assez édifiant de ce qui a pu être trouvé dans les relevés de Google :

-  Le 2 juin 2008, à 12h46, un internaute situé selon les données GPS à proximité d’une adresse très précise, dans la ville de MARSEILLE (13007), accède à un site d’image pornographiques appelé http://www.straightboysjerkoff.com, dont il est membre. L’identifiant qu’il utilise sur le site est enregistré en clair, ainsi que son mot de passe et son adresse IP sur le réseau interne, connecté à son point d’accès. L’identifiant SSID et l’adresse MAC de son point d’accès sont connus de Google mais ont été supprimés des informations fournies à la CNIL.

- Le 21 octobre 2008 à 13h05 un internaute situé selon les données GPS à proximité de la place Anne de Beaujeu, à TOURS (37000), accède à un site de rencontres gay http://rencontres.gayvox.com. Son adresse IP sur le réseau interne connecté à son point d’accès a été enregistrée.

- Le 26 mars 2009 à 15h03, un internaute pouvant être situé très précisément à l’aide de ses coordonnées GPS sur la D118 (au nord de CARCASSONNE) accède à un site de rencontre http://www.mes-rencontres-sexy.com/ dont il est membre. L’identifiant utilisé est connu de la société, comme son mot de passe et son adresse IP sur le réseau interne connecté à son point d’accès. De nouveau, l’identifiant SSID et l’adresse MAC du point d’accès de cet utilisateur sont connus de Google mais ont été supprimés des informations fournies à la CNIL. Avant d’arriver sur ce site, selon les cookies qui ont été interceptés, l’internaute a effectué la recherche suivante sur le moteur de recherche Google : « rencontre coquine gratuite ».

- Ont également été interceptées les bribes d’un accès à un système de soins en ligne, à proximité des coordonnées GPS de la Clinique Mutualise Chirurgicale située au 3, rue le Verrier à Saint-Etienne (42100). Ces bribes font notamment référence à un soin prescrit par un professionnel de santé nommément désigné, et le chemin d’accès aux documents recherchés fait référence à un outil de gestion des patients en milieu hospitalier.

- Il a également été possible de consulter un échange de courriels entre une femme et un homme mariés, cherchant tous deux une relation extraconjugale. Les coordonnées GPS associées à cette requête, identifiées en clair, pointent vers une adresse précise (un numéro de rue dans une ville du département du Rhône). Les personnes concernées sont identifiées par leurs prénoms et leurs adresses de courrier électronique.

Ces rapprochements ont été opérés par la CNIL sans difficulté particulière, alors même que les identifiants SSID et les adresses MAC des points d’accès de ces utilisateurs, connus de la société, avaient en revanche été supprimés des informations lui ayant été fournies.

De son côté, Google, qui continue à plaider l’erreur, affirme vouloir « supprimer ces données aussi vite que possible » et en a demandé l’autorisation à la CNIL.

Partager

A propos de l'auteur

[Responsable de la rédaction]
Sévit également sur Café Gaming et Point de vue social.

5 commentaires

  1. Ça me fait un peu rire cette nouvelle...... Pas bien google d'aller chercher des informations sur des réseaux OUVERTS.... Si il s'agit d'un réseau "public" il me semble avoir deja lu a la connexion que le réseau n'était pas protégé et que les infos qui circulaient pouvaient etre interceptés, ou un truc de ce style.... Et si il s'agit d'un réseau privé, n'a-t-on pas une loi assez récente qui stipule que l'utilisateur est responsable de la protection de son réseau, et que si par hasard quelqu'un utilisait frauduleusement son réseau pour faire du peer to peer par exemple, il pourrait être tenu responsable ????

  2. La loi est de 2010, mais la capture des données date de 2008, donc ca relève de l'intrusion dans un système informatisé et non pas de la négligence caractérisée stipulée par hadopi. Les personnes chez qui des données ont été capturées a l'époque sont en droit de porter plainte au pénal au titre de l'article L323.1 du NCP

  3. La CNIL ? ha oui cette institution qui a autorisé le 11 juin 2010 les radars du NET de Trident Media a collecter vos ip et analyser la nature de vos transferts de fichier pour le compte des maisons de production , sans que l'utilisateur ne puisse s'y opposer ... (http://www.zdnet.fr/actualites/hadopi-l-ultime-verrou-a-saute-la-cnil-confirme-son-feu-vert-39752344.htm) C'est vraiment histoire de dire : on va taper sur Google pour faire oublier aux Internautes ce qu on laissé faire avec Hadopi... Meme si on ne peut que regretter cette bourde de la part de Google c'est domage qu a cause de ca , on ne verra jamais de carte nationale de tout les hot spot sur Google Maps , bien pratique quand se deplace et qu on doit jongler avec la carte de son operateur mobile , celle de son FAI , et diverses sources pour la list des hot spot gratuit...

  4. MrReed a écrit :
    La loi est de 2010, mais la capture des données date de 2008, donc ca relève de l'intrusion dans un système informatisé et non pas de la négligence caractérisée stipulée par hadopi. Les personnes chez qui des données ont été capturées a l'époque sont en droit de porter plainte au pénal au titre de l'article L323.1 du NCP
    Bon, ok.... Si c'est une question de date, on va dire que Google était en avance sur son temps :)

  5. Réagir sur le forum