Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Google Street View et Latitude : Amende record de la CNIL

Données de géolocalisation - Défaut de déclaration CNIL - Collecte déloyale

Vous êtes ici : Accueil > Actualités

jeudi 31 mars 2011

Le 17 mars dernier, la CNIL a prononcé une amende record de 100 000 € à l’encontre de la société GOOGLE INC, avec publication de cette décision sur les sites cnil.fr et legifrance.gouv.fr [1].

Cette amende a été prononcée à l’issue des contrôles de la CNIL, réalisés dès décembre 2009, concernant les services de géolocalisation proposés par
Google.

Rappel des faits

Dans le cadre de l’extension de son service en ligne Google Maps, le célèbre moteur de recherche a lancé en juin 2008 Google Street View sur le territoire français (traitement déclaré à la CNIL le 1er juillet 2008), puis Google Latitude en février 2009.

Pour rappel, Google Latitude permet à son utilisateur, dès lors qu’il dispose d’un compte Google et de l’application Latitude installée sur son smartphone, d’afficher sa position et d’indiquer à ses proches sa localisation en temps réel. Réciproquement cette application permet de géolocaliser ses proches, utilisateurs des mêmes services, sur une carte ou une liste.

Le fonctionnement de l’ensemble de ces services de géolocalisation par les réseaux Wi-Fi ou GSM (Google Maps, Street View, et Latitude) repose sur la constitution et la mise à jour d’une base de données commune, dénommée GLS (Google Location Server).

Cette base GLS a été largement alimentée par les Google cars, lors du projet Street View, en collectant des signaux radios (GSM et Wi-Fi) associés aux positions GPS.

Aujourd’hui, cette base GLS est enrichie et mise à jour essentiellement par le traitement des données transmises par ses utilisateurs (adresses MAC [2]. et identifiants SSID [3] des points d’accès Wi-Fi les plus proches).

A ce titre, la CNIL considère que le service Google Latitude est soumis au respect de la loi Informatique et Libertés du 6 janvier 1978, dans la mesure où il repose sur un traitement de données à caractère personnel.

En effet, dans sa délibération du 17 mars, la CNIL précise que « les identifiant SSID permettent d’identifier les réseaux Wi-Fi se trouvant à portée et de s’y connecter et que ces identifiants comportent fréquemment le nom et/ou le prénom des titulaires du réseau ; de tels éléments permettent alors manifestement d’identifier une personne physique », et doivent par conséquent être considérés comme constituant des données à caractère personnel. Il en est de même pour les adresses MAC croisées avec les données collectées par Google.

Cette analyse, contestée par Google, a notamment été à l’origine de sept contrôles sur place de la CNIL, qui a constaté la présence de plusieurs dispositifs de collecte de données sur le toit des Google cars, ainsi qu’une clef Wi-Fi dans leur coffre permettant de capter et d’enregistrer des signaux Wi-Fi.

Il en résulte qu’un logiciel dénommé « gSlite », déployé dans les véhicules Street View, comprenait « un programme de détection et de captation de données de contenu sans fil, dénommé Kismet, lequel permet de capter et d’enregistrer l’ensemble des données Wi-Fi à sa portée (données de contenu chiffrées, données de contenu non chiffrées, données de contrôle et données de gestion) ».

Ensuite, le logiciel gSlite ajoutait les données GPS aux données Wi-Fi captées et enregistrées par Kismet, afin de les localiser de manière précise.

Les agents de la CNIL ont alors analysé les différentes données collectées par Google.

Les données de contenu captées par les Google cars

La CNIL, dans le cadre de son expertise technique à partir d’une copie des données de contenu Wi-Fi (payload) isolées des autres données (remise par Google), a identifié des :

- données relatives à la navigation sur internet, dont la nature des sites consultés, les mots de passe permettant d’y accéder et l’emplacement géographique de l’utilisateur, ainsi que de nombreuses données de connexion à des sites de rencontre et à des sites pornographiques ;

- données d’accès à des boîtes de courrier électronique comprenant des mots de passe de messagerie, les adresses de courriel des expéditeurs et des destinataires à partir des données d’envoi (smtp), ainsi que des contenus entiers de courriels.

Ces données ont permis aux agents de la Commission de démontrer des atteintes graves :

« le 26 Mars 2009 à 15h03, un internaute pouvant être situé très précisément à l’aide de ses coordonnées GPS sur la D118 (au nord de CARCASSONNE) accède à un site de rencontre http://www.mes-rencontres-sexy.com/ dont il est membre. L’identifiant utilisé est connu de la société, comme son mot de passe et son adresse IP sur le réseau interne connecté à son point d’accès. De nouveau, l’identifiant SSID et l’adresse MAC du point d’accès de cet utilisateur sont connus de Google mais ont été supprimés des informations fournies à la CNIL. Avant d’arriver sur ce site, selon les cookies qui ont été interceptés, l’internaute a effectué la recherche suivante sur le moteur de recherche Google : rencontre coquine gratuite . (…)

Il a également été possible de consulter un échange de courriels entre une femme et un homme mariés, cherchant tous deux une relation extraconjugale. Les coordonnées GPS associées à cette requête, identifiées en clair, pointent vers une adresse précise (un numéro de rue dans une ville du département du Rhône). Les personnes concernées sont identifiées par leurs prénoms et leurs adresses de courrier électronique.

Ces rapprochements ont été opérés par la CNIL sans difficulté particulière, alors même que les identifiant SSID et les adresses MAC des points d’accès de ces utilisateurs, connus de la société, avaient en revanche été supprimés des informations lui ayant été fournies ».

Les identifiants SSID et adresses MAC captés par les Google cars

L’analyse de la copie d’un disque dur comprenant l’ensemble des informations collectées par un véhicule Street View (zone autour de la ville de MILLAU entre avril et mai 2010) a « permis d’établir que les Google cars enregistraient non seulement les adresses MAC des points d’accès Wi-Fi, mais aussi les adresses MAC de l’ensemble des terminaux connectés à ces points d’accès (ordinateurs personnels, imprimantes et autres périphériques, smartphones, etc.) ».

C’est dans ces conditions que la CNIL, après une mise en demeure partiellement infructueuse, a décidé de prononcer une sanction pécuniaire pour :

  • manquement à l’obligation d’accomplir les formalités préalables à la mise en œuvre du traitement Google Latitude ;
  • manquement au respect de la vie privée et des libertés individuelles ;
  • manquement à l’obligation d’effectuer une collecte loyale et licite des données (défaut d’information des utilisateurs sur les données collectées) ;
  • insuffisance des réponses apportées par la société aux demandes de la Commission (non-communication du code source du nouveau logiciel).

La CNIL est donc la première autorité de protection des données personnelles ayant sanctionné Google, alors que d’autres procédures similaires sont actuellement diligentées par ses homologues de l’Union européenne.

Google dispose de 2 mois pour contester cette décision devant le Conseil d’Etat.

Nicolas Samarcq - Juriste
Consultant TIC/CNIL

[1Délibération n°2011-035 du 17 mars 2011 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société GOOGLE Inc.

[2adresses MAC (Media Access Control address) des routeurs Wi-Fi : identifiant physique stocké dans une carte réseau ou une interface réseau

[3SSID (Service Set Identifier) : Identifiant de 32 caractères servant à identifiant un point WiFi dans un réseau. L’ordinateur souhaitant se connecter à ce point WiFi doit fournir ce SSID et le mot de passe correspondant (source : www.microapp.com).

Nos partenaires

Réalisation : Clic Story ®

Plan du site