Le 1er Mars 2012, GOOGLE décidait de fusionner les règles de confidentialité de ses différents services (parmi les plus célèbres GMAIL, GOOGLE SEARCH, PICASSA, YOUTUBE…).
A la suite de plusieurs mises en demeure et échanges jugés insatisfaisants, la formation restreinte de la CNIL décide de condamner, le 3 janvier dernier, la société GOOGLE Inc. à la plus forte amende qu’elle est en droit d’infliger et ordonne également la publication du communiqué de la CNIL sur la page d’accueil du site.
Tout le monde s’accorde à souligner le caractère dérisoire de l’amende de 150 000 euros comparée aux 50 milliards de dollars de chiffre d’affaire réalisé par l’entreprise (ou même aux 900 000 euros d’amende infligée par l’autorité espagnole de protection des données). En revanche, cette décision est l’occasion pour la CNIL de prendre position, en les clarifiant, sur certaines dispositions de la loi Informatique et Libertés du 6 janvier 1978 et de la directive 95/4/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Tout d’abord, la CNIL considère que la loi française s’applique bien à l’entreprise californienne dont les activités de publicité ciblée sont gérées par son établissement GOOGLE FRANCE. En outre, la CNIL relève que les cookies placés sur les terminaux des utilisateurs français constituent bien, au sens de l’article 5 de la loi Informatique et Libertés, des moyens de traitement mis en œuvre sur le territoire et déclenchant de ce fait l’application de ladite loi.
L’obstacle de la loi applicable étant franchi, la formation restreinte déroule son raisonnement sur l’imprécision et l’opacité de la politique de confidentialité de GOOGLE quant aux finalités et au fonctionnement des traitements de données mis en oeuvre.
Selon la CNIL, l’activité de publicité en ligne qui génère la majorité des revenus de l’entreprise est indissociable du traitement des données personnelles : la finalité est bien commerciale.
En outre, l’ampleur des données collectées et des moyens mis en œuvre (géolocalisation, information mise en ligne, email, requêtes sur les moteurs de recherche…), de même que le recoupement des données opéré par GOOGLE n’est pas non plus suffisamment explicite.
La CNIL condamne donc GOOGLE pour manquement à son obligation d’information, écartant l’argument de la société selon lequel la fusion des règles de confidentialité simplifierait considérablement la compréhension des utilisateurs alors que fournir davantage d’informations rendrait celles-ci peu lisibles pour les utilisateurs. La CNIL souligne au contraire qu’il appartient à GOOGLE d’être précis dans l’énoncé des finalités poursuivies au travers des différents traitements mis en œuvre.
L’information jugée insuffisante par la formation restreinte rejaillit logiquement sur son appréciation des règles de gestion du consentement des utilisateurs avant de procéder à l’enregistrement et au traitement des données : Comment donner un consentement libre et éclairé alors que les informations fournies par l’entreprise sont incomplètes ? Dans la mesure où les informations délivrées ne sont pas suffisantes, l’utilisateur ne dispose pas des moyens de comprendre la portée de son consentement.
En troisième lieu, la CNIL réaffirme le lien existant entre l’obligation d’information et l’exercice effectif des droits offerts par la loi à l’utilisateur : droit d’opposition et droit d’accès, de rectification ou d’effacement des données.
Concernant les cookies, la CNIL relève que la présence d’un bandeau d’information n’est pas systématique. Certes, les options de paramétrage des navigateurs internet peuvent être considérées comme un moyen d’obtenir le consentement de l’utilisateur. Mais en tout état de cause, ce consentement doit être obtenu avant toute collecte de données et après délivrance d’une information claire et précise.
GOOGLE se défend en précisant que ce sont les éditeurs des sites internet visités qui libèrent ces cookies, et que leurs contrats stipulent effectivement une obligation d’information à l’égard des internautes. Néanmoins, la formation restreinte rejette l’argument et souligne que GOOGLE, en tant que responsable du traitement, ne peut s’exonérer de sa responsabilité.
Au regard du caractère personnel des données défini par l’article 2 de la loi du 6 janvier 1978, la CNIL distingue trois types d’utilisateurs des services proposés par GOOGLE. Les utilisateurs « authentifiés », qui ont un compte utilisateur GOOGLE (GMAIL, etc), les « actifs non authentifiés » (qui emploient YOUTUBE, GOOGLE Maps) et les « passifs », qui utilisent des sites ayant recours aux services GOOGLE (tel que GOOGLE Adwords, GOOGLE Analytics, GOOGLE Maps).
Elle reconnait ensuite que si les données collectées ne sont parfois pas en elles-mêmes « identifiantes », le recoupement systématique de ces données permet néanmoins à la société de « singulariser » les individus et de retenir la qualification de données indirectement identifiantes. Cette combinaison sans limitation des données est par ailleurs condamnée en tant que telle par la CNIL car contraire à l’article 7 de la loi.
La dernière problématique abordée est relative à la durée de conservation des données, qui doit être proportionnelle à la finalité du traitement. La finalité du traitement n’étant pas suffisamment précisée par GOOGLE, la CNIL affirme qu’elle ne peut apprécier le critère de proportionnalité en l’espèce mais qu’en tout état de cause, l’absence de règles précises concernant la durée de conservation va à l’encontre de l’article 6-5°) de la loi Informatique et Libertés. Mais la définition d’une ou plusieurs durées de conservation pose effectivement un véritable problème : l’internaute a vocation à revenir chaque jour sur internet. Ainsi, la relation entre ce dernier et GOOGLE ne comporte aucune limite temporelle susceptible de déclencher un délai de conservation.
Google a fait appel au fond de la décision devant le Conseil d’Etat et a engagé un recours en référé aux fins d’obtenir la suspension de la publication ordonnée par la CNIL. La décision de référé est attendue dans les prochains jours.
L’on rappellera que si le nouveau projet de règlement européen est adopté, les sanctions infligées à une entreprise en matière de règlementation des données personnelles pourraient atteindre 100 millions d’euros ou 5 % du chiffre d’affaire mondial de l’entreprise.
1
Clément LECOMTE
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine