Au printemps 2010, on a appris que Google avait, lors de ses courses effectuées pour Street View en Suisse, également enregistré des données provenant de réseaux Wi-Fi. Nos recherches ont révélé que l’enregistrement de ces données n’était pas conforme aux exigences de la protection sur les données.
En avril 2010, nous avons procédé à des examens relatifs au recensement de réseaux sans fil par Google et avons prié la société de prendre position. Début mai 2010, Google nous a communiqué par écrit que la société enregistrait et traitait effectivement des données relatives aux réseaux Wi-Fi présents en Suisse, mais qu'elle ne collectait pas de contenus des communications (données de charge utile). Elle précisait que le but de cette saisie de données était de pouvoir mettre en service une fonction de localisation qui soit indépendante d'un signal GPS en se basant sur les emplacements des antennes et des routeurs Wi-Fi. Puis, à mi-mai 2010 déjà, Google nous a informés que la société avait, lors de ces courses de prises de vue pour Street View, malgré tout enregistré sans s'en rendre compte des contenus de communications en provenance de réseaux Wi-Fi non protégés. Par la suite, Google a cessé les courses de prises de vue jusqu'à ce que les équipements Wi-Fi installés sur les véhicules soient démontés.
Immédiatement après la divulgation de l'enregistrement de ces données, Google a extrait ces données de son réseau d'entreprise pour les chiffrer et les bloquer pour tout usage ultérieur. Lors de l'analyse de ces données, nous avons découvert des extraits de communication sans fil qui ont eu lieu juste au moment où le véhicule Street View traversait la zone d'émission du point d'accès Wi-Fi. Il s'agit entre autres de courriels complets, d'appels de sites web, de noms d'utilisateurs, de mots de passe, numéros de téléphone, adresses de courriel et adresses d'entreprises. Nos découvertes coïncident ainsi avec celles faites par d'autres autorités de protection des données.
Les équipements Wi-Fi ayant été enlevés des véhicules de prise de vue, Google n'enregistrera plus de données de charge utile lors de ses futures courses. Nous avons recommandé à la société de détruire la totalité des données de charge utile qu'elle a collectées de manière illicite et de prendre des mesures sur le plan technique et organisationnel pour éviter que des incidents comparables ne puissent se reproduire. Il s'agira en particulier de tenir compte des exigences de la protection de la sphère privée dès la phase de développement («Privacy by Design») et de mener des audits avant de proposer de nouveaux services et produits.
Nos recherches ont en outre montré qu'un grand nombre de réseaux locaux sans fil étaient encore toujours exploités sans cryptage. Nous avons notamment été surpris par le fait que non seulement des informations privées, mais aussi des informations de nature commerciale (telles qu'un courriel concernant un projet de création d'un entrepôt de données dans une banque), étaient transmises par le biais de réseaux locaux sans fil sans avoir été préalablement chiffrées. Nous recommandons vivement de n'exploiter les réseaux locaux sans fil que sous forme chiffrée (WPA2-AES), ceci afin d'éviter d'une part que des tiers n'aient accès aux données qui y circulent et, d'autre part, que des clandestins ne se branchent sur le réseau et restreignent ainsi la largeur de la bande ou encore s'en servent pour mener des actions illégales. Nous conseillons par ailleurs de chiffrer les informations confidentielles, même lorsqu'elles sont transmises par le biais de connexions sécurisées ou chiffrées (SSL, VPN).