Protection des données personnelles : Google à l’amende en Espagne et en France

1105

Deux premières condamnations ont été prononcées en Europe à l’encontre de Google pour non-respect des règles de confidentialité des données personnelles. Sans grever financièrement le groupe internet américain, elles sont néanmoins révélatrices de la volonté des autorités compétentes de faire respecter leur législation nationale, et viennent alimenter les discussions menées à Bruxelles sur ce sujet.

Le 1er mars 2012, Google a fusionné la soixantaine de règles propres à l’utilisation de ses nombreux services gratuits (Google Search, Gmail, Google Calendar, Google Maps, Google+, YouTube, Google Drive, Picasa, Google Docs…) en un seul document précisant leurs conditions générales d’utilisation. Google évoquait alors son souhait de mieux informer les internautes sur sa politique de confidentialité, qui lui accorde notamment une licence d’exploitation pour le monde entier de leurs données personnelles et dont ils sont censés avoir pris connaissance. Cette louable intention n’a pas convaincu les 27 autorités européennes de protection des données personnelles réunies au sein du G29 (Groupe de travail Article 29), organe consultatif européen indépendant qui a bataillé plus d’un an pour obtenir des engagements de la part de Google afin d’améliorer la transparence concernant ses pratiques de collecte, de conservation et d’exploitation des données personnelles (voir REM n°26-27, p.11). Face au refus de Google de se conformer au cadre juridique des pays européens, six autorités nationales ont pris le relais afin d’exercer une action répressive à son encontre.

En décembre 2013, l’AEPD, autorité espagnole chargée de la protection des données, est la première « CNIL » européenne à condamner Google à payer une amende de 900 000 euros pour « violations graves » de la vie privée. Dans son action contre Google lancée en juin 2013, l’AEPD déplore un manque de transparence concernant la collecte et l’exploitation publicitaire des données personnelles, avec notamment « un emploi abusif du conditionnel » et d’expressions « ambiguës », ainsi que l’opacité du contrat de licence régissant l’utilisation de ses services. L’autorité espagnole accuse également Google de détenir les données personnelles des internautes « pour une durée indéterminée ou injustifiée » et « d’entraver l’exercice du droit d’accès, de rectification, d’annulation et d’opposition » dont les internautes doivent disposer. De plus, Google est jugé coupable de se livrer à un traitement illégal des données personnelles collectées en les combinant les unes avec les autres afin d’obtenir des informations sur les internautes « dépassant largement les attentes raisonnables de l’utilisateur moyen », qui ignore la quantité massive de données exploitées le concernant.

En France, la CNIL (Commission nationale de l’informatique et des libertés) a engagé une procédure formelle de sanction en septembre 2013, à la suite d’une période de mise en demeure de trois mois durant laquelle Google n’a pas répondu à sa demande de mise en conformité de sa politique de confidentialité avec la loi française Informatique et Libertés. Le 3 janvier 2014, la CNIL a prononcé à l’égard de Google une sanction pécuniaire de 150 000 euros, l’amende maximale, accompagnée de l’obligation de publier le communiqué de cette décision sous huit jours sur le site Google.fr pendant 48 heures. La CNIL considère que Google « n’informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n’étant pas déterminées comme l’exige la loi, ni l’ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d’exercer leurs droits, notamment d’accès, d’opposition ou d’effacement ». En outre, la CNIL accuse Google de ne pas respecter l’obligation d’obtenir le consentement préalable des internautes pour l’utilisation de cookies, de ne pas déterminer une durée de conservation des données et de s’autoriser « sans base légale, à procéder à la combinaison de l’intégralité des données qu’elle collecte sur les utilisateurs à travers l’ensemble de ses services ».

D’autres procédures visant Google ont été entamées par les autorités compétentes en Allemagne, en Italie, aux Pays-Bas et en Angleterre. En novembre 2013, l’Autorité néerlandaise a rendu des conclusions semblables à celles de ses homologues espagnol et français. « Google tisse une toile invisible de nos données personnelles, sans notre consentement. Et c’est interdit par la loi » a déclaré Jacob Kohnstamm, président de l’Autorité néerlandaise de protection des données. Le groupe américain est convié pour l’heure à une audition, après laquelle l’Autorité décidera des mesures à prendre. « Nous nous sommes pleinement impliqués tout au long des échanges avec la CNIL afin d’expliquer notre politique de confidentialité et la façon dont elle nous permet de créer des services plus simples et plus efficaces » a déclaré un porte-parole de Google à l’AFP le 15 janvier 2013, le groupe ayant fait appel de la décision de la CNIL. Le projet de directive européenne relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, proposé par la Commission européenne en janvier 2012 afin de remplacer celle en vigueur datant de 1995, ère pré-Google où moins de 1 % des Européens utilisaient l’internet, fait l’objet d’une mobilisation intense de la part des entreprises américaines, mais aussi britanniques et irlandaises : 4 000 amendements ont déjà été déposés. Visant à harmoniser les 28 lois nationales existant en Europe, le projet de directive comporte notamment l’obligation d’obtenir le consentement explicite des internautes pour utiliser leurs données ; un droit d’accès, de rectification ou un droit à l’oubli pour les internautes, ainsi que des amendes équivalentes à 2 % du chiffre d’affaires mondial des entreprises contrevenantes.

A l’heure du cloud computing, de la géolocalisation, des wearable technologies et de l’internet des objets, la protection des données personnelles est plus que jamais envisagée comme une question de société. Les interrogations sont nombreuses quant aux conséquences sur la vie privée de l’utilisation des nouveaux outils numériques comme les Google Glass, Google Now (assistant numérique qui anticipe vos demandes) et les applications de reconnaissance faciale. En novembre 2013, Information Commissioner Officer, organe public britannique de la protection des données personnelles, a ouvert une enquête après qu’un blogueur, DoctorBeet, a révélé que sa smart TV (télévision connectée) de la marque LG enregistrait à son insu, et malgré la désactivation de la fonction, les informations relatives à sa consommation de programmes, ainsi que celles de ses fichiers personnels enregistrés sur une clé UBS qu’il avait préalablement branchée à son téléviseur. « Je crois que la tendance naturelle est de se laisser emporter par la technologie. Mais il est très important que le droit et la politique définissent les conditions d’utilisation raisonnables de ces outils » explique Isabelle Falque-Pierrotin, présidente de la CNIL.

Publiée au Journal officiel en décembre 2013, une recommandation de la CNIL rappelle que les cookies utilisés pour l’envoi de messages publicitaires ciblés ou pour la mesure d’audience des sites internet, ainsi que les traceurs sur les réseaux sociaux « ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui- ci n’a pas donné son consentement ». La période de validité de ce consentement ne devra pas dépasser treize mois. En outre, la CNIL vient de mettre à la disposition des internautes un logiciel gratuit baptisé Cookieviz permettant de suivre en temps réel l’action des cookies lors de leur navigation internet.

Sources :

  • « Google, ouvrez la boîte noire », Erwan Cario et Camille Gévaudan, Libération, 8 octobre 2013.
  • « Les lobbys de l’Internet spamment Bruxelles », Jean Quatremer, Libération, 8 octobre 2013.
  • « Un téléviseur LG soupçonné de surveiller les téléspectateurs », Lucie Ronfaut, Le Figaro, 25 novembre 2013.
  • « Dutch DPA: privacy policy Google in breach of data protection law », Dutch DPA, dutchdpa.nl, 28 november 2013.
  • « Données personnelles : les cookies ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement, selon la CNIL », La Correspondance de la Presse, 18 décembre 2013.
  • « Vie privée : Google condamné en Espagne », ZDNet.fr, 20 décembre 2013.
  • « La formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 € à l’encontre de la société GOOGLE Inc. », CNIL, cnil.fr, 8 janvier 2014.

LAISSER UN COMMENTAIRE