Google ne pourra plus utiliser les données des utilisateurs italiens pour créer des profils, à moins d'obtenir le consentement des parties intéressées, et devra déclarer explicitement qu'il exerce cette activité à des fins commerciales, ou pour proposer de la publicité personnalisée, beaucoup plus rentable que le traditionnel. Cela a été indiqué dans une note du garant de la confidentialité, expliquant que l'enquête lancée l'année dernière après les modifications apportées par l'entreprise à sa politique de confidentialité s'est terminée par une mesure prescriptive.
Dans le cadre d'une action coordonnée avec les autres autorités européennes de protection des données et suite à l'arrêt de la Cour européenne de justice sur le droit à l'oubli, celle du Garant italien est la première disposition en Europe qui ne se limite pas à se référer à la respect des principes de la réglementation sur la vie privée, mais indique concrètement les éventuelles mesures que Google doit adopter pour rester dans la légalité.
La société a en effet unifié dans un seul document les différentes règles de gestion des données relatives aux nombreuses fonctionnalités proposées : de la messagerie (Gmail), au réseau social (GooglePlus), à la gestion des paiements en ligne (Google Wallet), à la diffusion de vidéos (YouTube), de cartes en ligne (Street View), d'analyses statistiques (Google Analytics) - procédant ainsi à l'intégration et à l'interopérabilité des différents produits également et donc au croisement des données des utilisateurs relatives à l'utilisation de multiples services .
"Au cours de l'enquête, également caractérisée par plusieurs auditions avec ses représentants - lit la note -, Google a adopté une série de mesures pour rendre sa politique de confidentialité plus conforme aux règles. Cependant, le Garant a constaté la persistance de divers profils critiques liés à une information inadéquate des utilisateurs, à l'absence de demande de consentement à des fins de profilage, à des durées de conservation des données incertaines et a dicté une série de règles, qui s'appliquent à tous les services proposés".
Informations
L'Autorité a ordonné à Google de se doter d'un système d'information structuré sur plusieurs niveaux, afin de fournir les informations les plus pertinentes pour l'utilisateur dans un premier niveau général : l'indication des traitements et des données traitées (ex : localisation des terminaux, IP adresses, etc.), de l'adresse à contacter en italien pour exercer ses droits, etc. ; dans un second niveau, plus détaillé, les informations spécifiques relatives aux différents services proposés. Mais surtout Google devra clairement expliquer, dans les informations générales, que les données personnelles des utilisateurs sont contrôlées et utilisées, entre autres, à des fins de profilage pour la publicité ciblée et qu'elles sont également collectées avec des techniques plus sophistiquées que de simples cookies, tels que comme prise d'empreintes digitales. Ce dernier est un système qui collecte des informations sur la façon dont l'utilisateur utilise le terminal et, contrairement aux cookies installés sur le PC ou le smartphone, les stocke directement sur les serveurs de l'entreprise.
Consenso
Pour utiliser les données des parties intéressées à des fins de profilage et de publicité comportementale personnalisée - tant celles relatives aux e-mails que celles collectées en croisant les informations entre différents services ou en utilisant des cookies et des empreintes digitales - Google devra obtenir le consentement préalable des utilisateurs et ne pourra pas ne se limite plus à considérer la simple utilisation du service comme une acceptation inconditionnelle de règles qui ne laissaient, jusqu'à présent, aucun pouvoir de décision aux intéressés sur le traitement de leurs données personnelles. À cet égard, l'Autorité a également indiqué une méthode innovante et facile à utiliser qui, sans alourdir excessivement la navigation de l'utilisateur, lui permet de choisir activement et consciemment de donner ou non son consentement au profilage, également en ce qui concerne les services individuels utilisé.
Conservation
Google devra définir certaines durées de conservation des données sur la base des règles du Code de Confidentialité, tant en ce qui concerne celles conservées sur les systèmes dits "actifs", qu'archivées par la suite sur des systèmes de "sauvegarde". En ce qui concerne l'annulation des données personnelles, le Garant a imposé à Google que les demandes des utilisateurs disposant d'un compte (et donc facilement identifiables) soient satisfaites dans un délai maximum de deux mois si les données sont stockées sur des systèmes "actifs" et dans un délai de six mois si les données sont archivées sur les systèmes de sauvegarde. En revanche, s'agissant des demandes d'annulation impliquant l'utilisation du moteur de recherche, il a jugé opportun d'attendre les développements d'application de l'arrêt de la Cour de justice de l'Union européenne sur le droit à l'oubli.
Google disposera de 18 mois pour se conformer aux exigences du Garant. Pendant cette période, l'Autorité surveillera la mise en œuvre des mesures prescrites. En effet, l'entreprise devra soumettre au Garant, avant le 30 septembre 2014, un protocole de vérification, qui une fois signé deviendra contraignant, sur la base duquel les délais et les modalités de l'activité de contrôle que l'Autorité effectuera contre Mountain sera réglementé.
