Données personnelles : la CNIL laisse 3 mois à Google pour respecter la loi
Cahiers de vacances
Le 20 juin 2013 à 14h04
6 min
Droit
Droit
Dans une délibération datée du 10 juin dernier - mais publiée aujourd’hui, la Commission nationale de l’informatique et des libertés (CNIL) a adressé un sérieux avertissement à Google. L’entreprise américaine doit procéder dans un délai de trois mois à toute une série d’améliorations concernant son utilisation des données personnelles de ses utilisateurs. À défaut ? Le géant de l’internet pourrait être (enfin) sanctionné.
L’avertissement est désormais clair. Si Google ne se plie pas aux exigences de la CNIL d’ici mi-septembre, l’institution entamera une procédure de sanction à l’encontre de la société américaine. On comprend d’ailleurs l’exaspération de la Commission : cela fait plus d’un an que la firme de Mountain View est sermonnée par la CNIL au sujet de ses dernières règles de confidentialité, en vigueur depuis le 1er mars 2012. Critiqué sur un plan national et européen, Google a été contraint de répondre à plusieurs questionnaires. Après plusieurs sommations visant à ce que le géant de l’internet se mette en conformité avec la législation européenne en matière de données personnelles, Google n’a fait que peu d’efforts en direction des gardiennes européennes de la protection des données.
Tant et si bien qu’en févier dernier, la CNIL et le G29 annonçaient qu’elles avaient décidé « de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent ». Un groupe de travail, piloté par la CNIL, était mis en place à cet effet. Le lancement d’une « action répressive » était d’ailleurs promis pour « avant l'été », soit aujourd’hui au plus tard. Le 26 mars, Google adressait un courrier au G29, dans lequel il promettait qu’un « certain nombre de mesures allaient être mises en œuvre afin d’améliorer la protection des données de ses utilisateurs », indique aujourd’hui la CNIL.
Des manquements en série à la loi « Informatique et Libertés »
Seulement, la Commission a également décidé de diligenter un contrôle supplémentaire, lequel est complémentaire aux investigations menées dans le cadre du G29. Dans sa délibération du 10 juin, l’autorité administrative française adresse une mise en demeure au géant de l'internet, détaillant les différents manquements qu’elle a ainsi constatés vis-à-vis de la loi « Informatique et Libertés » :
- Certaines finalités de traitement de données « demeurent toujours insuffisamment déterminées et explicites, et notamment celles liées à l’amélioration des services », regrette tout d’abord la CNIL. L’institution craint ici que les internautes ne puissent pas appréhender correctement l’utilisation future qui pourrait être faite de leurs données.
- L’information des personnes n’est pas satisfaisante, dans la mesure où « il est impossible de considérer, nous dit la CNIL, que les utilisateurs sont effectivement informés du traitement actuel et futur de leurs données ». L’autorité administrative rappelle que l’information des personnes doit être « claire, complète et détaillée » pour être effective.
- La CNIL considère que Google opère un traitement déloyal de données à caractère personnel. Comment ? En effectuant ceci à l’insu de ses utilisateurs, que ce soit en collectant des cookies via des outils déposés sur des sites tiers, tels que « Analytics » ou « Double Clik », ou bien au travers de ses propres services. L’institution explique que « la seule présence » du bouton « + 1 » ou de tout autre service de Google (maps,etc.) « permet à la société de collecter des informations sur la personne telle que, notamment, son adresse IP et le site Internet visité ». Et ce, quand bien même celle-ci ne cliquerait pas sur le service en question.
- Sur les cookies toujours, la CNIL insiste et déplore que « l’information poursuivie par les cookies et sur les moyens de s’y opposer [soit] lacunaire ». L’institution considère ici que l’utilisateur « n’est pas en mesure d’exprimer valablement son accord ».
- Le croisement de données effectué par Google au travers de ses différents services est perçu par la CNIL comme « dépourvu de base légale ». L’autorité administrative retient que le géant de l’internet ne permet pas à ses utilisateurs de s’opposer à la « combinaison illimitée » de leurs données personnelles.
- Sur la durée de conservation des données des utilisateurs par Google, la CNIL retient que celles-ci sont gardées, « pour la plupart, pour une durée illimitée ». L’institution a ainsi observé que la firme de Mountain View « ne s’engage pas à supprimer de ses serveurs les données collectées dans un délai fixe », par exemple après la suppression d’un service ou d’un contenu par un utilisateur.
Google a trois mois pour d'ambitieuses améliorations
Au regard de tous ces manquements à la législation française, la CNIL a officiellement mis en demeure Google : l’entreprise américaine a désormais un délai de trois mois -à compter de sa notification de la décision de la CNIL - pour :
- Définir des finalités déterminées et explicites afin de permettre aux utilisateurs, quel que soit leur statut, d’appréhender concrètement les traitements portant sur leurs données à caractère personnel
- Procéder à l’information des utilisateurs en application des dispositions de l’article 32 de la loi « informatique et libertés », en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre
- Définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées
- Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs
- Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « + 1 » ou tout autre service Google présents sur la page visitée
- Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment
Si Google s'exécute, la CNIL considérera que l’affaire est close. Dans le cas contraire, la voie d’une éventuelle sanction sera grande ouverte. Là, le panel répressif peut être très large, allant du simple avertissement à une amende d’un montant maximal de 150 000 euros.
L’eurodéputée socialiste Sylvie Guillaume a d’ores et déjà réagi à cette annonce, clamant que cette décision de la CNIL constituait « une étape importante pour prévenir les abus dans la collecte, le traitement ou la commercialisation des données personnelles ». Et celle-ci d’ajouter : « En pleine actualité sur l'affaire PRISM, cette mise en demeure montre plus que jamais que nous avons besoin d'un cadre juridique fort afin de redonner aux citoyens le contrôle sur leurs données personnelles ».
Données personnelles : la CNIL laisse 3 mois à Google pour respecter la loi
-
Des manquements en série à la loi « Informatique et Libertés »
Commentaires (18)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/06/2013 à 14h08
Le géant de l’internet pourrait être (enfin) sanionné
Pourrait dans 5 ans et pour une amende qui est au delà du ridicule. Donc réponse de Google : m’en fous
Le 20/06/2013 à 14h17
Si Google s’exécute, la CNIL considérera que l’affaire est close. Dans le cas contraire, la voie d’une éventuelle sanction sera grande ouverte. Là, le panel répressif peut être très large, allant du simple avertissement à une amende d’un montant maximal de 150 000 euros.
Il doivent avoir grave les boules chez Google avec des sanctions pareillles " />
Le 20/06/2013 à 14h18
150 000€ d’amende max?
Google ne va meme pas lire plus loin…
et le temps que la sanction tombe de l’eau aura coulé sous les ponts" />
Le 20/06/2013 à 14h18
Ça fait déjà un an et demi que ça doit être dans 3 mois….
Le 20/06/2013 à 14h30
nsa vs cnil : nsa 1 - cnil 0 " />
Le 20/06/2013 à 14h37
Faudrait qui arrête leur acharnement anti google ….
La moitié des pseudo argument est totalement subjectif et l’autre douteuse…
“Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment”
Donc sur chaque site google a chaque fois qu’on l’utilise devrait y avoir un pop-up (j’aime sa !!!) pour demander si ont veut le cookie ?!
Et puis le reste sur la pseudo non imformation des users….
Tous est dans le contrat qui est accesible en bas de TOUTES les pages de leur site mais personne les regarde je doute que se soit de faute de google,la loi les obligent a une utiliser une police de taille 46 et de faire clignoter le texte ? J’ai un doute…
Le 20/06/2013 à 14h39
Sur le mode Coluche (“Le flic”) :
Si Google ne s’exécute pas il va avoir un avertissement !
Ah non ! Mais on rigole pas avec ces trucs-là hein !
Parce qu’au bout de 30 avertissements, on peut avoir un blâme !
Et au bout de 30 blâmes, on passe devant un conseil de discipline de la CNIL !
Le 20/06/2013 à 14h39
Le 20/06/2013 à 14h56
Le 20/06/2013 à 15h13
La CNIL considère que Google opère un traitement déloyal de données à caractère personnel. Comment ? En effectuant ceci à l’insu de ses utilisateurs, que ce soit en collectant des cookies via des outils déposés sur des sites tiers, tels que « Analytics » ou « Double Clik », ou bien au travers de ses propres services. L’institution explique que « la seule présence » du bouton « +1 » ou de tout autre service de Google (maps,etc.) « permet à la société de collecter des informations sur la personne telle que, notamment, son adresse IP et le site Internet visité ». Et ce, quand bien même celle-ci ne cliquerait pas sur le service en question.
Sur les cookies toujours, la CNIL insiste et déplore que « l’information poursuivie par les cookies et sur les moyens de s’y opposer [soit] lacunaire ». L’institution considère ici que l’utilisateur « n’est pas en mesure d’exprimer valablement son accord ».
Si y’a bien quelque chose dont j’ai horreur c’est bien le message que l’on se tape sur tout les site “Ce site collecte des cookies pour plus de renseignement se reporté à nos conditions de confidentialité.” Les cookies ont croirait que c’est récent et que le fait de faire un bandeau sur chaque site va changer quelque chose.
Et pourquoi cette attaque de Google à ce que je sache :
Le nombre de services utilisants des cookies et scripts traqueurs est infinis…
En bref ils sont contre le gagne paint de toutes les régies de pub.
Bientot nous auront ces messages à l’entrée d’un site :
Quand à l’amende de 150 000 € " />
Le 20/06/2013 à 15h19
Définir des finalités déterminées et explicites afin de permettre aux utilisateurs, quel que soit leur statut, d’appréhender concrètement les traitements portant sur leurs données à caractère personnel
Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présents sur la page visitée
Et ben c’est pas gagné : Google doit dévoiler ce qu’ils mettent un effort méga énorme à camoufler à la masse depuis toujours avec des “do no evil” et du pseudo gratuit cool; et cesser l’aspirateur mondial qui est le fondement même de presque tout leur business " />
Tout ça sous la pression inpitoyable et la peur de… la CNIL… en France….150 000 €… trois épouvantails des plus terrifiants " />
Le 20/06/2013 à 15h28
Le 20/06/2013 à 15h29
Le 20/06/2013 à 16h07
Le 20/06/2013 à 16h09
Le 20/06/2013 à 16h34
Allez on rajoute encore 3 zéros derrière l’amende et Google commencera tout juste à regarder ce petit insecte gênant qu’est la CNIL.
Le 20/06/2013 à 18h34
Le 20/06/2013 à 19h02