Le géant Google frappé au front par la fronde de la CNIL

/ /
Publié le 1 mars 2014
Par .

Ambassadrice du droit des données personnelles, désignée par le G29 pour mener à bien son combat contre un géant un peu trop laxiste quant au droit européen des données personnelles, la CNIL assène par une délibération en date du 3 janvier 2014 un coup non négligeable à Google

La décision peut être consultée ici

24 janvier 2012 : Google décide de fusionner une soixantaine de règles de confidentialité applicables à autant de ses services en une seule, se permettant ainsi la combinaison des données de ses différents utilisateurs.

Mais la directive 95/46/CE veille. Alarmé, le G29 commandite la création d’un groupe de travail afin de déterminer l’impact de cette fusion sur les données personnelles des utilisateurs. Un courrier de recommandations signé par les 27 autorités membres du G29 est adressé à Google en octobre 2012.

Les premières propositions de Google en réponse à ce courrier n’apparaissent pas satisfaisantes au regard de la directive.

Suite à une procédure de contrôle ouverte en mars 2013, la présidente de la CNIL, Isabelle Falque-Pierrotin, décide en juin de mettre Google en demeure de se conformer aux exigences du droit européen en matière de données personnelles[1].

Trois mois après, force est de constater que Google n’a pas prêté curseur aux demandes de la CNIL[2]. Le géant se complaît dans ses manquements. La CNIL agit.

Véritable parabole du droit des données personnelles, la décision de la CNIL marque par son exhaustivité. En l’espèce, il apparaît que Google contrevient à nombre de dispositions instituées par la loi du 6 janvier 1978 modifiée. Après avoir défini trois catégories d’utilisateurs des services de Google, à savoir les utilisateurs authentifiés, actifs non authentifiés et passifs, la CNIL sabre un à un les arguments de Google.

Les finalités des traitements de données mis en œuvre ne lui apparaissent ainsi ni déterminées ni explicites. De fait, l’information fournie aux utilisateurs n’est pas claire, et leur consentement n’est pas recueilli de manière satisfaisante, notamment pour le dépôt de cookies. Par ailleurs, les critères des durées de conservation des données sont qualifiés de flous et indéterminés.

Enfin, la combinaison de données qui est réalisée par Google ne porte ni l’empreinte de l’information des utilisateurs, ni celle de leur consentement. La CNIL martèle : en l’état, les utilisateurs n’ont aucun pouvoir de contrôle sur l’utilisation qui est faite de leurs données.

En conséquence, la Commission décide de prononcer la sanction pécuniaire maximale pour un premier manquement[3] de 150 000 euros à l’encontre de Google, et elle l’assortit d’une sanction de publication sur son site d’un communiqué[4] informant les utilisateurs de la décision de la CNIL.

La décision de la Commission fait suite à une décision similaire de son équivalente espagnole, L’AEPD (Agencia Española de Protección de Datos), qui avait condamné Google en décembre 2013[5] à 300 000 euros d’amende pour chacun des trois manquements constatés à la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Un recours en référé-suspension ne sauvera pas Google de la sanction de publication sur son site du communiqué de la CNIL[6], publication intervenue le 8 février 2014. Ironie du sort, le site de la CNIL sera victime d’un phénomène de Slashdot effect suite à la publication de cet encart. Reste à connaitre la réponse du juge administratif au recours au fond formulé en parallèle par la société à l’encontre de la décision de la CNIL.

Gabriel de BROISSIA
Juriste – OasYs Consultants Paris
g.debroissia@live.fr



[1] http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2013-025_10_juin_2013_MED_GOOGLE_INC_VF.pdf

[2] http://www.cnil.fr/linstitution/actualite/article/article/google-absence-de-mise-en-conformite-a-lexpiration-du-delai-de-la-mise-en-demeure/

[3] Loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, article 47

[4] Texte du communiqué : « Communiqué : La formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Google à 150 000 euros d’amende pour manquements à la loi « informatique et libertés ». Décision accessible à l’adresse suivante: http://www.cnil.fr/linstitution/missions/sanctionner/Google/ »

[5] Décision disponible sur le site de l’AEPD à l’adresse http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2013/common/pdfs/PS-00345-2013_Resolucion-de-fecha-18-12-2013_Art-ii-culo-15-16-4.5-6-LOPD.pdf

[6] Le juge des référés du Conseil d’Etat a en effet rejeté ce recours par une ordonnance n°374595 en date du 7 février 2014, Société Google Inc., disponible sur le site du Conseil d’Etat à l’adresse http://www.conseil-etat.fr/fr/selection-de-decisions-du-conseil-d-etat/ordonnance_du_7_fevrier_2014_societe_google_inc.html