Google détaille sa mise en conformité avec le RGPD

Stéphane Moussie |

Le 25 mai approche à grands pas, et ça se voit. Tous les éditeurs de services en ligne sont en train de communiquer sur les changements qu’ils prennent pour se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD) qui entrera en vigueur en Europe à cette date.

Google se plie aujourd’hui à l’exercice en dévoilant ses principales mesures prises à cet effet. La première, c’est une réécriture de ses règles de confidentialité et conditions d’utilisation qui doit permettre aux utilisateurs de comprendre plus facilement quelles sont les informations collectées et les objectifs de la collecte.

Vidéo figurant dans la nouvelle version des règles de confidentialité et conditions d’utilisation de Google.

Google dit avoir amélioré l’organisation de son texte, ajouté des détails, présenté les choses dans un langage plus clair et inséré des vidéos explicatives. La nouvelle version du texte, qui entrera en vigueur le 25 mai, est consultable ici. Pour comparaison, la version actuelle est lisible ici.

Deuxième grande mesure de Google pour respecter le RGPD, donner plus de contrôle aux utilisateurs sur leurs données. Le géant du web déclare avoir « rendu les informations contenues dans [le portail] Mon Compte à la fois plus faciles à contrôler et plus claires ». Et de citer les « boutons pour activer ou désactiver l’historique des positions, l’activité sur le Web et les applications, l’historique des recherches YouTube et plus, sur tous les appareils connectés à votre compte », ainsi que la possibilité de consulter et effacer les données dans la rubrique à Mon Activité.

Contrairement à ce que Google semble vouloir faire croire — et que certains médias rapportent sans recul —, cette rubrique n’est pas nouvelle. Depuis 2016, Mon Activité donne une vision d’ensemble des informations enregistrées par Google, et permet de les supprimer individuellement ou collectivement.

Un nouveau coup de projecteur sur ce tableau de bord est néanmoins utile. Vous y trouverez vos recherches sur le web, les sites que vous avez visités, les lieux où vous vous êtes rendus, vos requêtes vocales à Google Home, etc. Si vous êtes pris de vertige en voyant tout ce que Google sait de vous, vous pouvez donc supprimer les données et désactiver les enregistrements.

Pas d’enregistrement des activités ? Pas de Google Assistant.

Mais ce que l’entreprise se défend d’indiquer clairement, c’est qu’au fil des ans elle a conditionné l’utilisation de plus en plus de services à l’enregistrement des activités. Alors que Google Now pouvait s’utiliser sans, son successeur Google Assistant — et par extension les Google Home et tous les autres appareils dont l’assistant est au cœur — requiert l’enregistrement des activités sur le web et les apps, les informations provenant des appareils (contacts, agendas, relevés des capteurs…) et les activités vocales. Tant que vous êtes dans le portail Mon Compte, profitez en pour régler vos paramètres publicitaires — vous préférez les pubs ciblées ou non ?

Dans les autres mesures prises pour respecter le RGPD, il y a la mise en place du projet open source Data Transfer Project. Si Google permet depuis 2011 de télécharger facilement une bonne partie de ses données, ce projet permet de transférer ses données vers un autre service similaire, comme le RGPD le demande. Par exemple, on pourra migrer aisément ses photos de Google Photos vers un autre service de stockage (pourvu que ce second service intègre les outils du Data Transfer Project).

Le géant du web énumère également des évolutions pour Family Link (la gestion des comptes pour les moins de 13 ans), l’actualisation de sa politique en matière de publicité, un processus de certification « plus rigoureux » pour les entreprises qui utilisent ses services publicitaires, ainsi que la mise à jour des conditions de traitement des données pour G Suite et Google Cloud Platform.

avatar Rodri31 | 

J'invite tout les utilisateurs Google à aller voir la page Activité de leur compte c'est assez flippant. Un peu comme l'historique de Facebook. Cela répertorie tout ce que Google a sur nous (recherche YouTube, recherche Google maps, phrases énoncées à Google...) 😬

avatar hrurussia | 

@Rodri31

C'est privé , donc je vois pas en quoi c'est flippant.

Ca serait flippant si on me le cachait, si au moment d'utiliser les services de Google on me m'indiquait explicitement que toutes ces infos vont être enregistrées, et pour terminer ça serait flippant si je n'avais pas accès à la suppression à ces infos, mais surtout si on me forçait à utiliser les services de Google, ce qui n'est pas le cas :)

avatar Moumou92 | 

@hrurussia

Même si Google était honnête et désintéressé le simple fait qu’une base de données aussi exhaustives existe sur toi devrait t’inquiéter: le piratage existe et de plus en plus (il n’y a qu’à voir le nombre de fuites dévoilées).

Mais donner autant de pouvoir a un seul acteur est flippant... à lire absolument: « l’homme nu - la dictature invisible du numérique » est un livre que l’on devrait tous avoir lu...

avatar sachouba | 

@Moumou92 :
Je pense que Google est une des entreprises – si ce n'est l'entreprise – qui protège le mieux ses données.
Le web et la sécurité des données sont leurs domaines de prédilection (contrairement à une banque, par exemple), et toutes les données qu'ils stockent sont chiffrées.

Donc avant que quelqu'un ne pirate tes infos personnelles, je pense qu'il va falloir attendre...

avatar roccoyop | 

Malheureusement il suffit d’une seule fois pour que ce soit trop tard.
Personnellement j’evite de jouer à la roulette russe.

À lire pour voir ce que le futur très proche vous réserve chez Google.
https://www.marianne.net/economie/apres-le-scandale-cambridge-analytica-...

avatar gsf | 

@sachouba

Google sécurisé tellement bien ses données que je suis localisé à 900km de chez moi à un endroit ou je n'ai strictement jamais mis les pieds. Franchement c'est flippant. Depuis un moment, j'en avais marre qu'on me demande si j'étais content de ma visite à Darty ou au cinéma du coin, donc j'ai virer la localisation. Mais avant, a peu près tout est présent... Conclusion : si t'as une maitresse = mot de passe à 25 caractères pour ton compte google !

avatar AhRiMaN | 

Le problème est que si ton mot de passe est trop chaud et ton compte toujours verrouillé ça ne manquera pas de pousser ta femme à + d'investigations..
Mieux vaut un tel double sim (petite particularité inconnue de madame bien sûr) avec ligne dédiée à la copine.

avatar C1rc3@0rc | 

@Moumou92

Et encore, il ne s'agit ici que des donnees fournies par l'utilisateur... parce que derriere il y a les graphes d'analyse qui sont issus de l'exploitation et du croisement de ces données dans le temps. Et celles-ci sont pas accessibles puisqu'elles sont internes au service.

En fait la bonne approche - du point de vue de l’intérêt de l'internaute - serait que par défaut aucune collecte ne soit faite et que le service demande explicitement d'activer enregistrement par enregistrement au fur et a mesure de l'usage.

Apres, Google n'est pas pire que les autres (le pire c'est Facebook).
Ici il n'est question que de l'acces aux services Web de Google, mais il faut aussi voir que le probleme se pose avec les applications - utilisant un service reseau - et surtout les OS.

Parce que si ça fait un peu moins l'objet d'articles, la collectent de données utilisateurs et l'analyse des comportements par un OS comme Windows 10 va encore plus loin que ce que font les services Web de Google.

Aujourd'hui en fait il n'y a que les distributions Linux (et encore ça depend desquelles) ou BSD qui respectent l'utilisateur...

avatar CountDown | 

"Google n'est pas pire que les autres (le pire c'est Facebook)."

Sauf que Google est partout et collecte de la donnée via un nombre de services bien plus étendu que Facebook.

avatar iapx | 

Mouaip et ils ne sont pas du tout en conformité avec cela, le GDPR c'est pas mettre une case à cocher "j'ai lu les conditions d'utilisation" situées sur une autre page (exemple de fabric.io), ça consiste à indiquer quelles données personnelles sont stockées incluant email, IP, Cookie créé, etc!), comment elles sont capturées (ou saisies) et à quels usages précis et justifiés elles sont destinées, et pour chaque entrée différente en terme de capture et/ou usages, une belle boite à cocher (décochée par défaut) pour marquer son accord.

Et ça Google ne veut pas le faire et ils vont dans le mur.

PS @Moumou92 entièrement d'accord avec tout ce que tu as écrit, incluant la sécurité: si un jour ça arrive c'est tous nos comptes, via GMail, qui seront exposés, l'email étant utilisé aujourd'hui comme dispositif de sécurité (une absurdité)

avatar bonnepoire | 

Evidemment! Google et le RGPD c'est à se pisser dessus de rire...

avatar roccoyop | 

Oh, avec une petite animation et une musique sympa et légère, une voix de femme souriante, tout passe tellement mieux !

"Don't be evil" qu'il disaient ! Allé, avec ça un prozac et au lit !

avatar umrk | 

Le pacte faustien, version moderne.

avatar Moonwalker | 

Sans cueillir la Marguerite.

avatar iapx | 

J'ai coupé Google, new relic et un tas d'autres malware (ralentissent les pages, utilisent ma bande-passant payante, se gavent de mémoire dans Chrome et en plus se permettent de capturer des informations personnelles sur moi dont mon IP sans mon consentement).

J'ai mis le hola sur tout ça dans /etc/hosts:
# A little privacy, at least
127.0.0.1 bcp.crwdcntrl.net
127.0.0.1 idsync.rlcdn.net
127.0.0.1 duckduckgo.com www.duckduckgo.com
127.0.0.1 googletagmanager.com www.googletagmanager.com
127.0.0.1 tpc.googlesyndication.com pagead1.googlesyndication.com pagead2.googlesyndication.com googlesyndication.com www.googlesyndication.com
127.0.0.1 connect.facebook.net graph.facebook.net lookaside.facebook.net
127.0.0.1 www.google-analytics.com api.google-analytics.com google-analytics.com ssl.google-analytics.com
127.0.0.1 adservice.google.ca adservice.google.com
127.0.0.1 aos-creative.prf.hn
127.0.0.1 cas.criteo.com cat.va.us.criteo.com criteo.com www.criteo.com
127.0.0.1 isurvey.g.doubleclick.net securepubads.g.doubleclick.net www.doubleclick.net doubleclick.net
127.0.0.1 www.googletagservices.com googletagservices.com www.googletagservices.ca googlegtagservices.ca
127.0.0.1 a.quora.com
127.0.0.1 p.typekit.net use.typekit.net www.typekit.net typekit.net
127.0.0.1 referrer.disqus.com
127.0.0.1 play.google.com
127.0.0.1 secure.quantserve.com
127.0.0.1 i.stack.imgur.com
127.0.0.1 sb.scorecardresearch.com
127.0.0.1 js-agent.newrelic.com nr-data.newrelic.com newrelic.com www.newrelic.com
127.0.0.1 autolinkmaker.itunes.apple.com
127.0.0.1 cse.google.com cse.google.ca
127.0.0.1 onesignal.com
127.0.0.1 p.skimresources.com skimresources.com www.skimresources.com
127.0.0.1 platform.twitter.com
127.0.0.1 syndication.twitter.com

Pas de requête = pas de pépette :)

avatar Un Type Vrai | 

Pourquoi bloquer duckduckgo ?

avatar iapx | 

Parce qu'ils ne sont pas ce qu'ils prétendent être, certains sites font appel dans leurs pages à des ressources sur duckduckgo.com, permettant à ceux-ci de collecter des informations sur moi, sans mon consentement ni être prévenu : je coupe à la source!

avatar Un Type Vrai | 

Merci, il reste Qwant ou Exalead (DS étant l'un de mes clients) alors...
Je n'étais pas au courant pour DDG :-)

avatar bonnepoire | 

DDG c'est le cheval de Troie de microsoft et son Bing.

avatar AppleDomoAdepte | 

La RGPD demande un accord explicite de l’internaute pour accepter ce qu’il souhaite communiquer.
Ici cela devrait se traduire par un RAZ de toutes les données stockées.

Une durée du stockage des données devrait également être indiquée (et celle ci est censée être limitée dans le temps)

La finalité de l’utilisation de ces mêmes données (la publicité ciblée par exemple devrait être indiquée) mais c’est peut-être le cas

avatar C1rc3@0rc | 

@AppleDomoAdepte

Helas une loi ne peut pas etre retroactive (sauf dans quelques cas tres particuliers) donc un effacement de ce qui existe n'est pas possible.

Mais tu as aussi parfaitement raison sur la dimension temporelle de la rétention des données. Aujourd'hui on est sur la question j'accepte ou pas qu'une donnees soit collectée. On a ni controle sur la duree de persistance de cette donnees ni sur son usage. ..
Et il y a l'arnaque des donnees "anonymisées"... Si la données est anonymisée alors elle n'est plus controlable par l'utilisateur. Et cette anonymisation est quasi toujours reversible...

avatar Bigdidou | 

@C1rc3@0rc

"Aujourd'hui on est sur la question j'accepte ou pas qu'une donnees soit collectée."
Ben non, on n'est plus sur cette question là, justement, mais bien a de là (mais je pense que tu as shunté le "plus" et que f'est ce que tu veux dire), mas bien au delà.
C'est ce que tu dis après :

"On a ni controle sur la duree de persistance de cette données ni sur son usage. .."
Ni qui y a accès, comment suivant quels protocoles...

Et oui. Plus de droit à l'oubli ou à enterrer le passé. Ce que tu postes ado, on va te le ressortir dans 30 ou 40 ans quand tu arriveras à des responsabilité. Ça commence à se produire de façon très concrète.

Par ailleurs personne ne peut dire qui a le contrôle de tout ça, pourrait décider d'enterrer des trucs ou au contraire de les faire ressortir en les plaçant bien où il faut dans la hiérarchie de résultats de recherches.
Un pouvoir potentiel de manipulation énorme.
Plus paniquant, un système en roue libre : les datas entrent dans le truc, sont compilées, indexées stockées, croisées, puis dupliquées et se diffusent partout, deviennent indissociables du reste et ça devient très difficile de faire le nettoyage.

"Et il y a l'arnaque des donnees "anonymisées"... Si la données est anonymisée alors elle n'est plus controlable par l'utilisateur. "
Tout à fait d'accord.

"Et cette anonymisation est quasi toujours reversible..."
Eh oui, ne serait que par les croisement devenus possibles du fait de la masse d'information dont dispose le système qui, précisément détient tes données "anonymes" .
Et qui a un pouvoir énorme sur toi.

avatar pierrot99 | 

On doit maintenant quand même donner le temps de rétention des données Google Analytics site par site ... j'en ai juste quelques 100aines à faire.

Des estimations disent que la RGPD va couter à minima 15000€/entreprise, ce qui me surprend à moitié. Je pense que Google a déjà dépensé bcp plus que ça (on ne peut pas nier qu'ils ont fait des choses qui ont dû leur couter chaud) même si appliquer la RGPD signifie en soi la disparition de Google puisque le coeur de métier de Google c'est de collecter des données perso (donc la grosse dépense pour eux c'est comment faire le bon rideau de fumée) ...

Bref à cause de leurs excès à eux (les GAFA), ma petite entreprise honnête et respectueuse passe un temps de dingue à essayer de comprendre d'abord, puis à se mettre en conformité ensuite, ce qui n'est pas une mince affaire pour qui utilise un CRM, produit des tas de sites, fait des mailings pour des clients (en respectant les règles), etc. etc.

avatar Septime | 

« Si vous êtes pris de vertige en voyant tout ce que Google sait de vous, vous pouvez donc supprimer les données et désactiver les enregistrements. »

Rectification: tout ce que vous avez donné à Google, nuance. 🙃

avatar Average Joe | 

Tout dépend aussi ce que vous avez d'activé sur vos compte Google. Sur le mien, il n'y a que la visualisation et les historiques de YouTube qui le sont (pour autant que je les regarde en étant connecté). Tout le reste : activité vocale et audio, information provenant des appareils, historique des positions, activité sur le web et les applications sont désactivés.

Pages

CONNEXION UTILISATEUR