Pourquoi la CNIL a infligé une amende de 150 000 euros à Google
Pour rembourser ses frais postaux liés au litige ?
Le 09 janvier 2014 à 14h40
8 min
Droit
Droit
L’aspect financier de la récente sanction de la CNIL à l’égard de Google ne doit pas faire oublier que l’institution a avant tout mis en exergue les manquements de l’entreprise américaine vis-à-vis de la législation française en matière de données personnelles. Alors que le géant de l’internet nous a confié qu’il n’excluait pas de faire appel de cette décision, retour sur ce qui a poussé la gardienne des données personnelles à punir Google.
Après avoir écopé d’une amende de 900 000 euros en Espagne, Google vient d’être sanctionné à hauteur de 150 000 euros en France. La CNIL a d’une certaine manière sorti l’artillerie lourde, puisqu’il s’agit d’une amende « record », d’un montant correspondant au maximum que l’institution peut infliger. Le géant de l’internet devra également diffuser « pendant 48 heures » un communiqué relatif à cette décision sur la page d’accueil de son moteur de recherche, site le plus visité de France.
Un litige datant de près de deux ans
Rappelons l’objet du litige : les règles de confidentialité de Google, ce texte unifiant dans un seul texte les dispositions applicables à l’ensemble des produits et services proposés par la firme de Mountain View, de Picasa à YouTube, en passant par Gmail ou Google Maps. Concrètement, il s’agit des articles régissant l’utilisation que fait Google des données personnelles qu’il récupère suite à l’utilisation de ses services par n’importe quel internaute, qu’il s’agisse d’une personne ayant un compte Google ou un simple visiteur.
Depuis l’entrée en vigueur de cette nouvelle « politique », le 1er mars 2012, s’en sont suivi de nombreuses péripéties entre la CNIL et l’entreprise américaine. Voici les principales étapes :
- En février 2012, la CNIL est mandatée par le « G29 » pour auditer ces nouvelles règles de confidentialité. Les différentes autorités européennes demandent alors à Google de suspendre momentanément son projet de fusion, le temps d’évaluer ses dispositions. L’entreprise américaine refuse.
- La CNIL se lance alors dans des phases d’échange avec Google, au cours desquelles plusieurs questionnaires sont soumis à la firme de Mountain View.
- En octobre 2012, le G29 conclut que ces nouvelles règles ne sont pas conformes à la législation européenne relative aux données personnelles. Google est invité à se mettre en règle avant le 15 février 2013.
- Le 29 mars 2013, la CNIL décide d’ouvrir en France une procédure de contrôle à l’encontre de Google.
- Le 13 juin 2013, Google écope d’une mise en demeure de la CNIL : l’entreprise dispose de trois mois pour mettre en œuvre différentes modifications et rentrer ainsi dans le rang au regard de la loi « Informatique et Libertés ».
- En septembre 2013, la gardienne des données personnelles ouvre une procédure de sanction à l'encontre de Google, qui a répondu à sa mise en demeure en contestant chacun des manquements constatés par la CNIL, affirmant de surcroît que la législation française n’était pas applicable aux traitements de données concernés.
- Le 3 janvier 2014, la formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 euros contre Google (voir la décision).
Venons-en maintenant au cœur du sujet : les manquements sanctionnés par la gardienne des données personnelles. Ils sont de plusieurs ordres.
Une piètre information des utilisateurs
En vertu de la loi Informatique et Libertés, toute personne mettant en œuvre un traitement automatisé de données doit obligatoirement en informer les personnes concernées. Google avait ainsi été sommé de faire des efforts à ce sujet, notamment en indiquant plus clairement à ses utilisateurs pour quelles raisons il collectait leurs données personnelles. En clair, les formules alambiquées utilisées par la firme de Mountain View n’étaient pas suffisamment explicites.
Mais pour la CNIL, le compte n’y est toujours pas. En effet, l’autorité administrative retient que la formulation et la présentation des règles de confidentialité de Google ne permettent aujourd'hui pas à l’utilisateur « de prendre conscience des finalités réelles, et par conséquent de l’ampleur de la collecte des données le concernant ». Aux yeux de la Commission, la firme de Mountain View est donc en violation de la loi, « faute de définir des finalités déterminées et explicites pour l’ensemble des traitements qu’elle met en œuvre ».
En outre, la CNIL a également sanctionné la façon dont Google permet d’accéder aux informations particulières concernant le traitement des données personnelles. Elle explique ainsi qu’un utilisateur cherchant à comprendre l’utilisation qui sera faite de ses données, pour éventuellement y apporter des modifications, doit passer d’une page à une autre, jonglant ainsi entre « des rubriques diverses, dont les intitulés ne permettent pas une navigation fluide ».
Conclusion de l’autorité administrative : « Les informations fournies aux utilisateurs [des services de Google] ne sont pas diffusées de manière suffisamment claire et recentrée ».
Une combinaison illicite de données entre les différents services
Ensuite, la gardienne des données personnelles a estimé que Google combinait illégalement les données des internautes utilisant ses différents services, qu’ils soient « enregistrés » (avec un compte Google), ou non. La Commission visait ici ces cas où la firme de Mountain View recoupe les informations qu’un utilisateur laisse en passant par exemple d’abord sur son moteur de recherche, puis dans Gmail, etc.
Le tacle est ici relativement sévère : « L’information relative à la combinaison des données des utilisateurs n’est pas suffisamment visible ni explicite pour que la validation des règles de confidentialité puisse être considérée comme un consentement explicite et éclairé de la part des utilisateurs authentifiés, et la société ne recueille aucun consentement de la part de ses actifs non authentifiés et passifs ».
Cookies
D’autre part, la CNIL estimait que Google ne respectait pas les obligations qui lui incombaient s’agissant du consentement préalable des utilisateurs en matière de dépôt de cookies sur leurs terminaux (ordinateurs, smartphones, etc.). Plus concrètement, pour considérer qu’un utilisateur accepte que des cookies soient déposés lors de son utilisation de services Google, il fallait que trois conditions soient remplies. Un, l’utilisateur devait préalablement y avoir consenti. Deux, il devait avoir été informé de manière claire et suffisante. Trois, il devait avoir manifesté sans ambigüité son accord lors du dépôt.
Sauf que ces conditions n’étaient pas réunies selon les conclusions de la CNIL. « La société ne respecte pas son obligation d’obtenir le consentement de la personne avant d’inscrire des informations dans l’équipement terminal de communications électroniques de l’utilisateur ou d’accéder à celles-ci par voie de transmission électronique » retient ainsi l’institution.
Durée de conservation des données personnelles
Lorsqu’une société telle que Google collecte des données personnelles, elle doit également en fixer la durée de conservation. Le responsable d’un traitement ne peut garder indéfiniment des données, il doit en effet respecter un délai « nécessaire aux finalités pour lesquelles [ces données] sont collectées et traitées ». C’est sur cette base que la CNIL a reproché à l’entreprise américaine de ne pas avoir déterminé de durée de conservation pour un certain nombre de données. « En dépit de ce qu’affirme la société, les critères selon lesquels elle détermine les durées de conservation des données de ses utilisateurs demeurent flous et indéterminés ; de ce fait, ils ne satisfont pas aux exigences de la loi » objecte ainsi la CNIL dans sa décision.
La CNIL ne manque quant à elle pas de précision...
Si Google s’est très clairement fait taper sur les doigts pour ne pas avoir été suffisamment clair, la CNIL ne manque pour sa part pas de précision lorsqu’elle décrit la façon dont Google devra publier, pendant 48 heures et sur sa page d’accueil, un communiqué relatif à cette décision. L’institution fait effectivement référence à la police de caractères, à la taille... (voir ci-dessous).
Enfin, l’on remarquera que contrairement aux récentes décisions publiées par la CNIL, Google n’a pas été mis à l’amende pour « refus manifeste » de coopérer.
Google n’exclut pas un éventuel recours
Contacté par PC INpact, un porte-parole de Google nous a transmis la réaction officielle du géant de l'internet : « Nous nous sommes pleinement impliqués tout au long des échanges avec la CNIL afin d'expliquer notre politique de confidentialité et la façon dont elle nous permet de créer des services plus simples et plus efficaces. Nous allons prendre connaissance de sa décision et envisager les suites à y donner ».
En clair, tout est possible aujourd'hui, dont un éventuel recours. Si jamais Google s'engageait sur cette seconde voie, il disposerait alors d’un délai de deux mois pour saisir le Conseil d’État.
Pourquoi la CNIL a infligé une amende de 150 000 euros à Google
-
Un litige datant de près de deux ans
-
Une piètre information des utilisateurs
-
Une combinaison illicite de données entre les différents services
-
Cookies
-
Durée de conservation des données personnelles
-
La CNIL ne manque quant à elle pas de précision...
-
Google n’exclut pas un éventuel recours
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/01/2014 à 17h13
Le 09/01/2014 à 17h50
L’amende est vraiment ridicule, ca equivaut a faire payer qqn 10 centimes pour un stationnement genant par exemple..
par contre l’annonce sur leur page d’accueil risque de faire du mal…
Le 09/01/2014 à 14h54
Pourquoi la CNIL a infligé une amende de 150 000 euros à Google ?
A. Pour prouver qu’elle existe.
B. Parce qu’elle ne pouvait pas faire plus.
C. Pour faire rire Google
D. La réponse D
(Perso, je vote A et B… et involontairement C) " />
Le 09/01/2014 à 14h57
L’amende en elle même est dérisoire pour Google.
Par contre le message à publier sur le portail pendant 48h est plus préjudiciable pour la marque à mon avis.
Le 09/01/2014 à 15h01
Le 09/01/2014 à 15h03
Google ferait mieux de faire amende honorable : pendant 2 ans, il était averti, n’a pas levé le petit doigt, et devrait se satisfaire de ne pas avoir une autre amende pour refus de coopération.
Le problème, c’est que quand ils auront payé, et que les 48h de publication de l’amende sera passé, Google pourra continuer a faire ce pourquoi il a été condamné aujourd’hui. Car je ne vois aucune mise en demeure de se conformer aux obligations émises par la CNIL.
Sinon, je suis fan du Arial sans sheriff " />
Le 09/01/2014 à 15h03
Arial, sans sheriff
Edit: Grilled
Le 09/01/2014 à 15h09
Le 09/01/2014 à 15h15
Le 09/01/2014 à 16h16
Le 09/01/2014 à 16h21
Le 09/01/2014 à 16h32
Le 09/01/2014 à 16h34
150000€ = 2 minutes de Chiffre d’Affaire de Google en France (dixit France Info)
" />
Le 09/01/2014 à 17h00
Tant mieux, largement mérité.
Même si ça sera hélas largement insuffisant pour faire bouger les choses … une pécadille dans le budget de Google.
Le 09/01/2014 à 17h05