La CNIL (Commission nationale française de l’informatique et des libertés) a prononcé une amende de 100 000 euros à l’encontre de la société Google Inc. pour avoir capté et enregistré des données transitant par les réseaux sans fil Wi-Fi de particuliers au moyen des véhicules déployés sur le territoire français, et ce à l’insu des personnes concernées (Délibération n°2011-035).

Pas de remise en cause des images
Même si la décision concerne le service Street View, ce n’est pas ici la collecte d’images qui est remise en cause. Google a développé une base GLS (Google Location Server) qui permet le fonctionnement de l’ensemble des services de géolocalisation sur les réseaux Wi-Fi ou GSM (autrement dit sans recourir à un GPS). Pour cela, la société a procédé à une collecte massive de signaux radios (Wi-Fi ou GSM). La mise à jour de cette base de données a maintenant lieu essentiellement par la transmission de données par les utilisateurs lorsqu’ils se connectent aux services avec un téléphone ou terminal mobile.

L’analyse menée sur ces données par la CNIL a permis de constater que Google avait enregistré, outre des données techniques (identifiants SIID et adresses MAC des points d’accès Wi-Fi), de nombreuses données concernant des particuliers, identifiés ou identifiables (données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle ou la santé des personnes). La CNIL relève encore dans sa décision que c’est précisément cette collecte de dizaines de milliers de points d’accès Wi-Fi par le biais des “Google cars” qui a permis à la société de développer une base de données de géolocalisation extrêmement performante, et d’acquérir ainsi une position dominante dans le secteur des services de géolocalisation. Google dispose d’un délai de deux mois pour recourir devant le Conseil d’Etat contre la décision rendue par la CNIL.

Cette décision présente l’évolution des services de localisation proposés par Google depuis 2004 et l’augmentation des atteintes à la sphère privée : les cartes de Google Maps, les images de Google Street View et le service de géolocalisation Google Latitude. La CNIL va d’ailleurs continuer à surveiller de près l’évolution du service Latitude.

Quelques éléments intéressants en bref
En avril 2010, Google a d’abord déclaré dans la presse ne collecter aucune donnée de contenu de communications à l’occasion de la circulation de ses véhicules, puis est revenue sur ses déclarations peu après, s’excusant d’avoir collecté par erreur des données circulant sur des réseaux Wi-Fi non sécurisés.

La CNIL considère que les données récoltées sont des données personnelles car il s’agit d’éléments concernant une personne identifiable, alors que Google se défend en argumentant que les données ne concernent pas une personne identifiée ou directement identifiable.

La CNIL relève que Google a pris l’engagement de cesser la collecte de données Wi-Fi par ses “Google cars” et de supprimer les données de contenu enregistrées selon elle par erreur, mais n’a pas renoncé à utiliser les données identifiant les points d’accès Wi-Fi. Si la collecte n’est plus réalisée par les “Google cars”, elle s’opère directement par le biais des terminaux mobiles des utilisateurs se connectant au service de géolocalisation Latitude.

Où se situe la limite entre données personnelles et public s’agissant d’un réseau Wi-fi, et plus particulièrement des identifiants (à distinguer du contenu) : un réseau privé visible mais inaccessible fait-il partie du domaine public ou s’agit-il encore d’une donnée personnelle (identifiable) ?

Et en Suisse
En Suisse, un procès est pendant devant le Tribunal administratif fédéral. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) y demande notamment que les visages et les plaques d’immatriculation soient totalement méconnaissables, que les personnes se trouvant dans des zones sensibles soient anonymisées, qu’il n’y ait aucune prise de vues dans le domaine privé, et que le lieu des prises de vues soit connu à l’avance, comme la date de leur mise en ligne.

La question des données provenant de réseaux locaux sans fil n’est visiblement pas l’objet de cette procédure. Elle avait déjà fait l’objet d’un rapport le 7 janvier 2011, dans lequel le Préposé avait constaté que la collecte de ces données et les finalités du traitement n’étaient pas reconnaissables pour les personnes concernées, que la collecte de ces données n’était ni utile ni indispensable pour mettre en place les services de localisation et qu’elle ne respectait ainsi pas le principe de la proportionnalité. En l’absence de motif justificatif, et considérant que ces données n’ont pas été délibérément mises à la disposition de tous par les personnes concernées, la collecte de ces données par Google constituait une atteinte illicite à la personnalité des personnes concernées. Etant donné que Google a réagi en interrompant ces activités et retiré des véhicules les éléments litigieux, le comportement illicite a pris fin et l’enquête est close.

L’autre conclusion du Préposé était qu’un grand nombre de réseaux locaux sans fil étaient exploités sans cryptage. Il recommande, une fois encore, de n’exploiter les réseaux locaux sans fil que sous une forme chiffrée.

Et ensuite?
Le service Latitude n’est pas concerné par ces deux procédures suisses, mais ne devrait pas laisser le Préposé  indifférent car la collecte des données est similaire. L’Allemagne, dont on connaît la résistance à Google Street View, avait mis à jour la question de la collecte des données Wi-Fi. Y aura-t-il également sanction ? Quel traitement y sera réservé à Latitude? Et pour terminer, il ne fait guère de doutes que l’utilisation par Google de vélos et de motoneiges pour obtenir plus de données va encore faire parler d’elle…