En raison de l‘inertie de la société Google Inc, la présidente de la CNIL envisage de désigner un rapporteur aux fins d’engager une procédure de sanction à son encontre.
Le non respect de la législation relative à la protection des données à caractère personnel par Google Inc n‘est pas nouvelle. Effectivement, le G29 avait précédemment constaté de tels manquements à la législation européenne (I). La persistance de cette violation a contraint la CNIL française à prendre des mesures appropriées contre la société Google Inc afin que cette dernière cesse ses différents manquements à la législation actuelle (II).
I. L’analyse des règles de confidentialité Google au regard de la législation européenne initiée par le G29
A partir du 2 février 2012, le groupe de travail G29 réunissant les CNIL européennes a mené une analyse des règles de confidentialité de Google au regard de la directive n°95/46/CE relative à la protection des données à caractère personnel.
Cette analyse a permis de mettre en exergue que la société Google Inc, responsable de plusieurs traitements automatisés de données à caractère personnel, ne respectait pas les règles de confidentialité applicables à de telles données selon la législation européenne. En effet, la société Google Inc traitait les données à caractère personnel de ses utilisateurs sans que ces derniers ne soient informés de la manière dont-elles étaient utilisées.
De cette étude, le G29 a formulé plusieurs recommandations rendues publiques le 16 octobre 2012 et a accordé un délai de quatre mois à la société Google Inc pour s’y conformer.
A l’issue de ce délai, le 15 février 2013, Google n’a adopté aucune mesure en vue de se conformer aux dispositions européennes relatives à la protection des données à caractère personnel.
Aussi, la CNIL française ainsi que six autres autorités européennes (les CNIL d’Allemagne, d’Espagne, d’Italie, des Pays-Bas et du Royaume-Uni) ont décidé le 2 avril 2013 d’apprécier la conformité des règles de confidentialité des services Google au regard de leurs législations nationales, lesquelles transposent la directive n°95/46/CE.
Dans cette perspective, ces différentes autorités ont choisi de mener certaines actions contre la société Google Inc, principalement en réalisant des contrôles et des enquêtes, mais aussi en prononçant des mises en demeure ou en prenant des mesures de sanction contre ladite société.
A titre d’illustration, le directeur de l’autorité de protection des données espagnole a notifié à Google sa décision d’ouvrir une procédure de sanction pour violation des principes fondamentaux de la législation espagnole en matière de protection des données personnelles.
La CNIL française a, pour sa part, mis en place le 29 mars dernier un contrôle. Celui-ci a abouti le 10 juin 2013 à une décision de mise en demeure de la CNIL exigeant de la société Google Inc qu’elle se conforme à la loi Informatique et Libertés du 6 janvier 1978.
II. Une violation persistante de la législation relative à la protection des données à caractère personnel
La CNIL a constaté que le dispositif de confidentialité mis en place par Google violait plusieurs règles de la loi Informatique et Libertés. A ce titre, elle relève une dizaine de manquements de la société Google Inc. à la loi du 6 janvier 1978 dont les suivants :
D’une part, la CNIL relève une violation de l’article 6 2° de ladite loi qui dispose que le responsable du traitement des données à caractère personnel ne peut les collecter que « pour des finalités déterminées, explicites et légitimes et de ne pas les traiter ultérieurement de manière incompatible avec ces finalités ». Or, en collectant des données à caractère personnel dont les finalités sont explicitées de manière trop vague, la société Google Inc a violé cette disposition légale.
Également, elle constate que les utilisateurs du moteur de recherche sont insuffisamment informés. Ce défaut d ’information constitue une violation de l’article 32 de la loi du 6 janvier 1978 prévoyant que le responsable du traitement doit « informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant de l’identité du responsable du traitement ; de la finalité poursuivie par le traitement ; du caractère obligatoire ou facultatif des réponses ; des conséquences éventuelles à son égard d’un défaut de réponse ; des destinataires de ces données ; des droits qu’elle tient des dispositions de la loi ». La CNIL motive sa décision en précisant que l’information destinée aux utilisateurs est dispersée au sein de plusieurs supports ce qui constitue un obstacle à l’accès à ces informations par les utilisateurs.
D’autre part, la CNIL constate un manquement aux obligations découlant de l’article 6 5° relatif à la durée de conservation des données à caractère personnel. En effet, elle explicite que seules certaines durées de conservation ont été indiquées par Google à la CNIL, variant d’une durée de conservation de 9 mois avant anonymisation par effacement du dernier octet des adresses IP à une durée de conservation de deux ans pour la validité des cookies enregistrés dans les navigateurs des utilisateurs.
Enfin, la CNIL relève une violation de l’obligation de procéder à une collecte et à un traitement loyal des données. Cette obligation découle de l’article 6 1° de la loi Informatique et Libertés. Or, la société Google Inc n’a pas respecté cette disposition en traitant les données des utilisateurs passifs qui se rendent sur des sites internet tiers sans qu’ils soient informés qu’en se rendant sur ces sites un traitement de leurs données est réalisé.
Après constaté ces différentes violations de la loi Informatique et Libertés, la CNIL a mis en demeure la société Google Inc de se conformer aux dispositions légales applicables à l’ensemble des traitements automatisés sous un délai de trois mois à compter de la notification de la décision, soit à compter du 20 juin 2013.
Néanmoins, la société Google Inc ayant refusé de se conformer à cette décision le 19 septembre 2013, la CNIL a décidé de désigner un rapporteur en vue d’initier une procédure de sanction à l‘encontre de la société Google Inc.
Cette procédure de sanction est initiée conformément aux articles 45 à 47 de la loi Informatique et Libertés. Il résulte de ces dispositions et plus précisément de l’article 45 de la loi du 6 janvier 1978 que la CNIL pourra prononcer à l’encontre de la société Google Inc une sanction pécuniaire d‘un montant maximum de 150 000 euros ou une injonction de cesser le traitement. L’autorité pourra également décider, si elle le juge approprié, d’interrompre la mise en œuvre du traitement ou encore le verrouillage de certaines des données à caractère personnel traitées.
Toutefois, au regard de la jurisprudence de la CNIL et au regard du nombre important d’utilisateurs du moteur de recherche Google, on peut penser que la CNIL s’orientera vers une sanction pécuniaire de la société Google Inc (Voir notamment : Délibération du 17 mars 2011, Google « Street View » : condamnation de Google à 100 000 euros d’amende).