Aude Gérard, avocat au cabinet Derriennic décrypte pour Le Monde du Droit le récent bras de fer entre Google et la CNIL.
Google refuse de mettre en conformité ses règles de confidentialité avec la loi Informatique et libertés. Telle est la conclusion toute provisoire d’un feuilleton commencé en janvier 2012 avec l’annonce publique par Google de la mise en place de nouvelles règles de confidentialité à compter du 1er mars 2012.
Face aux conséquences que de telles règles pourraient induire, le groupe de travail de l’article 29 (dit « G29 »), qui regroupe toutes les Cnil européennes, a informé Google de ce qu’il entendait procéder à leur analyse au regard de la directive européenne relative à la protection des données à caractère personnel de 1995. Il lui avait même demandé, dans ce laps de temps, de retarder la mise en oeuvre de ces règles, ce que Google avait refusé au motif qu’elle avait informé le public de la date de leur lancement.
Une analyse a ainsi été menée, de février à octobre 2012, par le G29, le conduisant à adresser un courrier en octobre 2012 invitant Google à se mettre en conformité sur un certain nombre de points.
Après de nouveaux échanges entre Google et un groupe de travail dirigé par la Cnil, plusieurs autorités de protection de données à caractère personnel (l’Allemagne, l’Espagne, la France, l’Italie, les Pays-Bas et le Royaume-Uni) ont décidé d’engager, dans le cadre de leur propre procèdure, des actions contre Google.
Après avoir constaté que les utilisateurs de Google n’étaient pas concrètement en mesure « de connaître l’utilisation pouvant être faite de leurs données et de les maîtriser »), la Cnil a mis en demeure Google par décision du 10 juin 2013 (décision n°2013-025) de se conformer dans un délai de trois mois à la loi Informatique et libertés et plus précisément de :
- Définir les finalités déterminées et explicites afin de permettre aux utilisateurs quel que soit leur statut d’appréhender concrètement les traitements portant sur leurs données à caractère personnel ;
- Procéder à l’information des utilisateurs quel que soit leur statut en application des dispositions de l’article 32 de la loi Informatique et libertés en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en oeuvre ;
- Définir une durée des conservations des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ;
- Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs ;
- Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présents sur la page visitée ;
- Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment.
A la veille de l’expiration du délai ainsi accordé, Google a indiqué à la Cnil que contestant son raisonnement, elle estimait que la loi Informatique et libertés ne s’appliquait pas aux services utilisés par des résidents en France et donc refusait de procéder aux modifications demandées.
C’est dans ces conditions que la Cnil vient d’indiquer qu’elle allait désigner un rapporteur aux fins d’engager une procédure formelle de sanction contre Google.
Force est toutefois de relever que la Cnil ne peut imposer qu’une sanction maximale de 150.000 euros à Google et que même si les sanctions que pourraient prononcer les autres Cnil, qui ont engagé une procédure contre Google, sont plus élevées, elles sont sans commune mesure avec le chiffre d’affaires de cette société.
Il reste que d’autres sanctions pourraient être prononcées notamment par l’Allemagne, dont la réglementation permet à son autorité de forcer Google à mettre en oeuvre des mesures afin de se conformer à la législation nationale allemande en matière de protection des données à caractère personnel.
Il reste encore que le projet de règlement européen en préparation va sûrement mettre en place un montant plus lourd en le basant sur le chiffre d’affaire ou en sanctionnant le contrevenant pour chaque infraction constatée comme le fait par exemple les autorités de contrôle de la concurrence.
La prochaine réunion du G29 devrait se prononcer sur la sanction adéquate et son application à Google.
Google a assurément choisi le rapport de force avec les Cnil européennes lesquelles doivent désormais asseoir leur autorité en notifiant des sanctions exemplaires à l’encontre de Google. A défaut, leur crédibilité sera remise en cause.
