Données personnelles : la CNIL laisse 3 mois à Google pour respecter la loi

Dans une délibération datée du 10 juin dernier - mais publiée aujourd’hui, la Commission nationale de l’informatique et des libertés (CNIL) a adressé un sérieux avertissement à Google. L’entreprise américaine doit procéder dans un délai de trois mois à toute une série d’améliorations concernant son utilisation des données personnelles de ses utilisateurs. À défaut ? Le géant de l’internet pourrait être (enfin) sanctionné.

L’avertissement est désormais clair. Si Google ne se plie pas aux exigences de la CNIL d’ici mi-septembre, l’institution entamera une procédure de sanction à l’encontre de la société américaine. On comprend d’ailleurs l’exaspération de la Commission : cela fait plus d’un an que la firme de Mountain View est sermonnée par la CNIL au sujet de ses dernières règles de confidentialité, en vigueur depuis le 1er mars 2012. Critiqué sur un plan national et européen, Google a été contraint de répondre à plusieurs questionnaires. Après plusieurs sommations visant à ce que le géant de l’internet se mette en conformité avec la législation européenne en matière de données personnelles, Google n’a fait que peu d’efforts en direction des gardiennes européennes de la protection des données.

Tant et si bien qu’en févier dernier, la CNIL et le G29 annonçaient qu’elles avaient décidé « de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent ». Un groupe de travail, piloté par la CNIL, était mis en place à cet effet. Le lancement d’une « action répressive » était d’ailleurs promis pour « avant l'été », soit aujourd’hui au plus tard. Le 26 mars, Google adressait un courrier au G29, dans lequel il promettait qu’un « certain nombre de mesures allaient être mises en œuvre afin d’améliorer la protection des données de ses utilisateurs », indique aujourd’hui la CNIL.

Des manquements en série à la loi « Informatique et Libertés »

Seulement, la Commission a également décidé de diligenter un contrôle supplémentaire, lequel est complémentaire aux investigations menées dans le cadre du G29. Dans sa délibération du 10 juin, l’autorité administrative française adresse une mise en demeure au géant de l'internet, détaillant les différents manquements qu’elle a ainsi constatés vis-à-vis de la loi « Informatique et Libertés » : 

• Certaines finalités de traitement de données « demeurent toujours insuffisamment déterminées et explicites, et notamment celles liées à l’amélioration des services », regrette tout d’abord la CNIL. L’institution craint ici que les internautes ne puissent pas appréhender correctement l’utilisation future qui pourrait être faite de leurs données.
• L’information des personnes n’est pas satisfaisante, dans la mesure où « il est impossible de considérer, nous dit la CNIL, que les utilisateurs sont effectivement informés du traitement actuel et futur de leurs données ». L’autorité administrative rappelle que l’information des personnes doit être « claire, complète et détaillée » pour être effective.
• La CNIL considère que Google opère un traitement déloyal de données à caractère personnel. Comment ? En effectuant ceci à l’insu de ses utilisateurs, que ce soit en collectant des cookies via des outils déposés sur des sites tiers, tels que « Analytics » ou « Double Clik », ou bien au travers de ses propres services. L’institution explique que « la seule présence » du bouton « +1 » ou de tout autre service de Google (maps,etc.) « permet à la société de collecter des informations sur la personne telle que, notamment, son adresse IP et le site Internet visité ». Et ce, quand bien même celle-ci ne cliquerait pas sur le service en question.
• Sur les cookies toujours, la CNIL insiste et déplore que « l’information poursuivie par les cookies et sur les moyens de s’y opposer [soit] lacunaire ». L’institution considère ici que l’utilisateur « n’est pas en mesure d’exprimer valablement son accord ».
• Le croisement de données effectué par Google au travers de ses différents services est perçu par la CNIL comme « dépourvu de base légale ». L’autorité administrative retient que le géant de l’internet ne permet pas à ses utilisateurs de s’opposer à la « combinaison illimitée » de leurs données personnelles.
• Sur la durée de conservation des données des utilisateurs par Google, la CNIL retient que celles-ci sont gardées, «  pour la plupart, pour une durée illimitée ». L’institution a ainsi observé que la firme de Mountain View « ne s’engage pas à supprimer de ses serveurs les données collectées dans un délai fixe », par exemple après la suppression d’un service ou d’un contenu par un utilisateur.

Google a trois mois pour d'ambitieuses améliorations

Au regard de tous ces manquements à la législation française, la CNIL a officiellement mis en demeure Google : l’entreprise américaine a désormais un délai de trois mois - à compter de sa notification de la décision de la CNIL - pour :

• Définir des finalités déterminées et explicites afin de permettre aux utilisateurs, quel que soit leur statut, d’appréhender concrètement les traitements portant sur leurs données à caractère personnel
• Procéder à l’information des utilisateurs en application des dispositions de l’article 32 de la loi « informatique et libertés », en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre
• Définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées
• Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs
• Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présents sur la page visitée
• Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment

Si Google s'exécute, la CNIL considérera que l’affaire est close. Dans le cas contraire, la voie d’une éventuelle sanction sera grande ouverte. Là, le panel répressif peut être très large, allant du simple avertissement à une amende d’un montant maximal de 150 000 euros.

L’eurodéputée socialiste Sylvie Guillaume a d’ores et déjà réagi à cette annonce, clamant que cette décision de la CNIL constituait « une étape importante pour prévenir les abus dans la collecte, le traitement ou la commercialisation des données personnelles ». Et celle-ci d’ajouter : « En pleine actualité sur l'affaire PRISM, cette mise en demeure montre plus que jamais que nous avons besoin d'un cadre juridique fort afin de redonner aux citoyens le contrôle sur leurs données personnelles ».