Journal Quand la CNIL écrit à Google Inc.

Posté par . Licence CC by-sa
22
21
mar.
2012

Depuis le 1er mars beaucoup d'entre vous ont quitté la sphère de Google en raison des nouvelles règles de confidentialité.

La lettre de la CNIL : d'où vient elle ?

La CNIL (l'autorité administrative française qui s'occupe de l'informatique et de la vie privée, si des belges, luxembourgeois, suisses… arrêtent de lire : la CNIL « a été désignée par les CNIL européennes pour mener l’analyse des nouvelles règles de confidentialité de Google. ») avait déjà soulevé certaines questions et envoyé une lettre à Google Inc. sur la manière dont ils procédaient aux changements de règles de confidentialité.

Le croisement des données recueillis est également important, on se demande pour les utilisateurs non connectés comment l'entreprise Google utilise les informations.

Le vendredi 16 mars la CNIL a alors écrit à Google Inc. pour poser 69 questions précises (en anglais mais assez aisé à comprendre).
J'ai lu ce document et je le trouve intéressant à lire, car je ne m'étais pas posé un certains nombre de questions (maintenant, je vais me les poser pour tous les services que je n'auto-héberge pas…). Je souligne dans ce journal certains points de la lettre qui ont plus attiré mon attention.

Points que j'ai notés intéressants

  • Certaines questions sont assez intéressantes, notamment sur les nuances entre les différents termes utilisés (quand on s'imagine les hordes d'avocats qui ont écrit cette magnifique prose si agréable à lire, il est en effet intéressant de se poser ces questions).

  • La reconnaissance faciale n'est pas mentionnée dans les conditions d'utilisation, la CNIL se demande si Google l'utilise et dans quelle mesure l'utilisateur est prévenu (en particulier pour les albums photos ou les images du réseau social Google+).

  • Pour tenter de comprendre la langue de bois, la CNIL demande à la firme de Mountain View ce que veut dire improve the services and
    develop new services
    (« améliorer le service et en développer de nouveaux »), si cher à tant de politiques de confidentialité.

  • La CNIL demande aussi plus précisément ce que signifient les fameuse lignes des conditions d'utilisation :

En soumettant des contenus à nos Services, par importation ou par tout autre moyen, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées […], de communication, de publication, de représentation publique, d’affichage ou de distribution public desdits contenus.

  • Est ce que les comptes Youtube ont été transformés en comptes Google automatiquement ?

  • La CNIL montre un tableau récapitulatif de la façon dont l'utilisateur influe sur la pub des pages affichées (page 9 du pdf, 8 de la lettre). Intéressant, mais il y a beaucoup de points d'interrogations…

  • À propos de navigateurs web la CNIL demande :

In what circumstances does Google consider it legitimate to circumvent browser enabled third party cookie blocking? (fr. « Dans quelles circonstances Google considère légitime de contourner le blocage des cookies tiers par le navigateur »)

En effet, il semblerait que Google s'amuse à contourner certains outils de protection de la vie privée de certains navigateurs.

  • Pour finir, la CNIL se questionne pourquoi certaines fiches de Google paraissent vraiment différentes en fonction de la langue.

Les choses écrites à la fin

Je trouve très intéressant que la CNIL nous tienne au courant de ses démarches auprès de Google Inc.. Je n'ai personnellement pas de compte Google, mais je suis parfois amené à utiliser les services de cette société, donc je me sens aussi concerné.

Je vous lie une nimage pour finir mon premier nourjal (historique).

  • # +1 pour la CNIL

    Posté par . Évalué à 2.

    J'ai lu que jusqu'à la question 5, c'est les bonnes questions à poser !

    • [^] # Re: +1 pour la CNIL

      Posté par . Évalué à 2. Dernière modification le 22/03/12 à 00:20.

      PS : J'ai vu le lien de la nimage en bas à gauche de mon brouteur, j'ai souris et j'ai pas résisté :)

      Ma nimage du soir est donc :

      CoA_mil_ITA_scuola_artiglieria

  • # Citation incomplete

    Posté par . Évalué à 5.

    La CNIL demande aussi plus précisément ce que signifient les fameuse lignes des conditions d'utilisation :
    En soumettant des contenus à nos Services, par importation ou par tout autre moyen, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées […], de communication, de publication, de représentation publique, d’affichage ou de distribution public desdits contenus.

    Perso le truc qui m'énerve c'est quand les citations sont (volontairement ?) incomplètes. La phrase qui suit dans les conditions d'utilisation c'est:

    Les droits que vous accordez dans le cadre de cette licence sont limités à l’exploitation, la promotion ou à l’amélioration de nos Services, ou au développement de nouveaux Services.

    Ce qui limite limite la licence. (J'avais trouvé http://www.readwriteweb.com/archives/getty_images_says_google_plus_terms_of_service_is_ok.php assez intéressant pour expliquer comment lire des conditions d'utilisation).

    • [^] # Re: Citation incomplete

      Posté par . Évalué à 2.

      1/ Ton lien (ou plutôt le lien à la fin de la page que tu pointes et qui renvoie vers l’analyse) se place d’un point de vue du droit d’auteur, il ne concerne pas la vie privée que préoccupe plus la CNIL.

      2/ Il est extrêmement complaisant, le critère de révocabilité est OK, alors que la citation du ToS juste au-dessus explique que tu accordes une licence irrévocable. C’est de l’embrouille ni vu nu connu, le ToS est révocable, mais l’acceptation du ToS vaut acceptation d’une licence qui elle ne l’est pas.

  • # Pourquoi pas définir des règles plutot que juste réagir?

    Posté par . Évalué à 10.

    Points que j'ai notés intéressants

    Certaines questions sont assez intéressantes, notamment sur les nuances entre les différents termes utilisés

    Le problème est en amont. Il faut définir ce qui est légal et ce qui ne l'est pas dans la collecte de donnée. Ensuite, on se foutra de la manière dont ils rédigent leurs licenses. Ils essaient d'être le plus vague possible pour couvrir le plus de cas possible mais ça n'indique pas à chaque fois une intention.

    La reconnaissance faciale n'est pas mentionnée dans les conditions d'utilisation

    ok, mais pareil. Ils ont demandé aux autres (facebook)? C'est légal ou pas de le faire?

    Pour tenter de comprendre la langue de bois, la CNIL demande ce que veut dire develop new services si cher à tant de politiques de confidentialité.

    Pareil. Est ce qu'il est légal d'étendre de cette manière des license et des services sans redemander l'accord de l'utilisateur. Je me souviens de l'etension de la licence de windows media player au travers d'une mise à jour, ce n'est pas propre à google et google en l'occurence a fait un effort pour que le changement de règles soient annoncé, public et informé:

    Les présentes Règles de confidentialité peuvent être amenées à changer. Toute diminution de vos droits dans le cadre des présentes Règles de confidentialité ne saurait être appliquée sans votre consentement exprès. Nous publierons toute modification des règles de confidentialité sur cette page et, dans le cas où il s’agirait de modifications significatives, nous publierons un avertissement mis en évidence (y compris, pour certains services, par le biais d’une notification par e-mail). Les versions antérieures des présentes Règles de confidentialité seront archivées et mises à la disposition des utilisateurs.

    Ils ont respecté ça pour le changement actuel.

    La CNIL demande aussi plus précisément ce que signifient les fameuse lignes des conditions d'utilisation :
    En soumettant des contenus à nos Services, par importation ou par tout autre moyen, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées […], de communication, de publication, de représentation publique, d’affichage ou de distribution public desdits contenus.

    Ce sont des termes qui permettent la replication des données. Pareil, il faut définir ce que peuvent faire les entreprises avec les données des utilisateurs qu'elles hébergent, ça évitera que ce genre de clauses soient abusées ensuite ou ça permettra de prendre des sanctions.

    Est ce que les comptes Youtube ont été transformés en comptes Google automatiquement

    C'est important en quoi?

    In what circumstances does Google consider it legitimate to circumvent browser enabled third party cookie blocking? (fr. « Dans quelles circonstances Google considère légitime de contourner le blocage des cookies tiers par le navigateur »)
    En effet, il semblerait que Google s'amuse à contourner certains outils de protection de la vie privée de certains navigateurs.

    Ce qui serait intéressant, ce serait que la CNIL se documente et se rende compte que la faille en question a été introduite dans le navigateur d'apple pour que facebook "continue à marcher normalement" pour ses utilisateurs.
    Les cookies c'est anecdotique. Si on ne veut pas que les sites/services comme facebook traquent leurs utilisateurs au travers de leurs logins ou de leurs bouton +1, il faut interdire la collecte de donnée au travers de serveurs tiers.
    Les navigateurs pourront ensuite implémenter une vraie politique de refus des cookies, les sites en question changeront leur manière d'identifier leurs utilisateurs qui ne seront plus déconnectée en cas de rejet des cookies tiers sur un autre et il n'y aura plus de problèmes de ce genre.
    Un exemple: google analytics. Il est un peu partout, ce n'est pas une question de cookie. Il faut définir quelles données ils ont le droit de récolter, quand et comment.

    Bref, tout ça c'est de la gesticulation sans une politique cohérente derrière qui accoucherait d'un cadre législatif précis. C'est sur que c'est plus difficile que chier des hadopi incompétentes et incohérentes alors que dans ce domaine le cadre législatif existant suffisait.

    • [^] # si j'ai bien compris le fonctionnement de linuxfr

      Posté par (page perso) . Évalué à -4.

      comme le commentaire au dessus est très pertinent il va rapidement se retrouver à 10 et je serais plussé par dépit.

      et juste pour être sur, moinssez-moi :)

      blague à part, je trouve qu'imr à une bonne analyse, il serait temps de définir un cadre cohérent et le plus universel possible pour les license d'utilisation ce qui éviterai de payer (très cher) des hordes d'avocat pour écrire des licences destinée à être lu et comprise par d'autre horde d'avocats.
      Seulement c'est pas évident de le faire (restreindre le nombre de licences signifie moins de liberté pour les fournisseur de services et éditeurs logiciel (par exemple si la GPL ou la CC devenait illégale ?) d'un autre côté actuellement pour l'utilisateur final, toute les licences se valent = "Un gros pavé qu'on ne lit pas".

      • [^] # Re: si j'ai bien compris le fonctionnement de linuxfr

        Posté par (page perso) . Évalué à 3.

        il serait temps de définir un cadre cohérent et le plus universel possible pour les license d'utilisation ce qui éviterai de payer (très cher) des hordes d'avocat pour écrire des licences destinée à être lu et comprise par d'autre horde d'avocats.

        En gros, tu veux réinventer le droit ?

    • [^] # Re: Pourquoi pas définir des règles plutot que juste réagir?

      Posté par (page perso) . Évalué à 2.

      Le problème est en amont. Il faut définir ce qui est légal et ce qui ne l'est pas dans la collecte de donnée.

      Bref, tout ça c'est de la gesticulation sans une politique cohérente derrière qui accoucherait d'un cadre législatif précis.

      Je pense aussi qu'un des principaux problèmes, c'est que la CNIL n'a pas que très peu de moyens financiers et humains. Elle fait très peu de contrôles et finalement ne remplit pas très bien son rôle, à l'image de la DGCCRF, ce qui arrange les entreprises.

      De plus en plus, c'est une coquille vide. La schizophrénie d'Alex Türk, président de la CNIL de 2004 à 2001, en est le meilleur exemple : en tant que sénateur, il a voté pour LOPPSI2 et HADOPI qu'il avait critiqué en tant que président de la CNIL

      • [^] # Re: Pourquoi pas définir des règles plutot que juste réagir?

        Posté par . Évalué à 1.

        président de la CNIL de 2004 à 2001,

        ça doit être pratique de prendre des décisions en connaissant à l'avance les conséquences…

        Bon plus sérieusement :

        en tant que sénateur, il a voté pour LOPPSI2 et HADOPI qu'il avait critiqué en tant que président de la CNIL

        C'est pas un problème lié à la CNIL, mais au fait que le monsieur est un godillot.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.