Protection des données personnelles : Google sanctionné par la CNIL

Le développement d’internet fait de la protection des données personnelles et plus largement de la vie privée des internautes un enjeu majeur de notre société. Le cas « Google » illustre parfaitement la nécessité de cette vigilance menée en France par la CNIL (Commission Nationale de l’Informatique et des Libertés) chargée de veiller à la protection des données personnelles. Le 8 janvier 2014 elle a condamné le géant américain Google, moteur de recherche le plus utilisé sur le Web, pour non-respect de la loi «Informatique et Libertés » du 6 janvier 1978.

google_france_022014

Les faits remontent au 1er mars 2012, date à laquelle Google dévoile sa nouvelle charte de confidentialité unique qui fusionne les différentes règles de confidentialité applicables à une soixantaine de ses services (Google search, Youtube, Gmail, Google Maps, Google Agenda, etc.). Google a ainsi mis en commun toutes les informations recueillies sur un même internaute à travers l’utilisation des différents services proposés.

Le  » G29  » (groupe de l’article 29), organe consultatif qui regroupe les autorités européennes de protection des données, a mené une analyse de cette politique de confidentialité qui a révélé de nombreuses violations de la directive européenne ‘Informatique et libertés’ (Directive 95/46/CE). Suite à plusieurs recommandations du G29 restées infructueuses, six autorités européennes (France, Allemagne, Royaume-Uni, Italie, Espagne, Pays-Bas) ont alors respectivement engagé des procédures à l’encontre de Google.

En France, la CNIL a estimé que les règles de confidentialité mises en œuvre par Google depuis le 1er mars 2012 ne sont pas conformes à la « loi informatique et libertés » (loi n°78-17 du 6 janvier 1978), notamment sur 4 points essentiels, semblables à ceux soulevés par le G29:

–  Google n’informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles.

–  Google ne respecte pas l’obligation de recueil du consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.

–  Google ne fixe pas de durées de conservation pour l’ensemble des données traitées. En effet d’après « le droit à l’oubli », les informations ne peuvent être conservées indéfiniment dans les fichiers informatiques.

–  Enfin, Google s’autorise, sans base légale, à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services.

Suite à une mise en demeure, du 10 juin 2013, de se conformer à la législation française, la CNIL a condamné Google au versement d’une amende de 150.000 euros, ainsi qu’à la publication d’un communiqué relatif à cette décision sur la page d’accueil de « Google.fr » dans les 8 jours à compter de la notification de cette décision et pour une durée de 48 heures.

La sanction financière est certes dérisoire (elle équivaut au chiffre d’affaire réalisé l’année dernière en deux minutes par le géant du net !) mais c’est le montant maximal que peut exiger la CNIL pour une première sanction. En cas de manquement répété dans les 5 prochaines années, Google risque une sanction de 5% de son chiffre d’affaires, dans la limite de 300 000 euros.

En revanche, Google n’a pas vu d’un bon œil l’obligation de faire figurer sur son emblématique page d’accueil le communiqué de la décision et a fait appel, devant le Conseil d’état, de cette obligation de publication. L’avocat de Google a plaidé « le préjudice d’image significatif« , estimant que la publication d’un tel encart équivalait à « une dénaturation de la page, vitrine de la société » et était de «nature à créer pour elle un préjudice d’image et de réputation irréparable ». Mais Google a été débouté le 7 février et donc condamné à la publication. Notons pour l’anecdote que le communiqué contenait un lien vers le site de la CNIL pour un accès direct à la décision complète. Face à une affluence de visiteurs inhabituelle, le site de la CNIL a été saturé de longues heures !

Des conclusions similaires ont été retenues par les autorités néerlandaise et espagnole. Quelles que soient les suites données par Google à ces condamnations, espérons qu’elles auront au moins permis d’attirer l’attention des internautes sur les questions de protection de la vie privée et de la collecte des données personnelles.

 Audrey Hourse

Pour aller plus loin :

Délibération n°2013-420 de la formation restreinte de la CNIL.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.