Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Pourquoi la CNIL a infligé une amende de 150 000 euros à Google

Pour rembourser ses frais postaux liés au litige ?

L’aspect financier de la récente sanction de la CNIL à l’égard de Google ne doit pas faire oublier que l’institution a avant tout mis en exergue les manquements de l’entreprise américaine vis-à-vis de la législation française en matière de données personnelles. Alors que le géant de l’internet nous a confié qu’il n’excluait pas de faire appel de cette décision, retour sur ce qui a poussé la gardienne des données personnelles à punir Google.

google cnil

 

Après avoir écopé d’une amende de 900 000 euros en Espagne, Google vient d’être sanctionné à hauteur de 150 000 euros en France. La CNIL a d’une certaine manière sorti l’artillerie lourde, puisqu’il s’agit d’une amende « record », d’un montant correspondant au maximum que l’institution peut infliger. Le géant de l’internet devra également diffuser « pendant 48 heures » un communiqué relatif à cette décision sur la page d’accueil de son moteur de recherche, site le plus visité de France.

Un litige datant de près de deux ans

Rappelons l’objet du litige : les règles de confidentialité de Google, ce texte unifiant dans un seul texte les dispositions applicables à l’ensemble des produits et services proposés par la firme de Mountain View, de Picasa à YouTube, en passant par Gmail ou Google Maps. Concrètement, il s’agit des articles régissant l’utilisation que fait Google des données personnelles qu’il récupère suite à l’utilisation de ses services par n’importe quel internaute, qu’il s’agisse d’une personne ayant un compte Google ou un simple visiteur.

 

Depuis l’entrée en vigueur de cette nouvelle « politique », le 1er mars 2012, s’en sont suivi de nombreuses péripéties entre la CNIL et l’entreprise américaine. Voici les principales étapes :

  • En février 2012, la CNIL est mandatée par le « G29 » pour auditer ces nouvelles règles de confidentialité. Les différentes autorités européennes demandent alors à Google de suspendre momentanément son projet de fusion, le temps d’évaluer ses dispositions. L’entreprise américaine refuse.
  • La CNIL se lance alors dans des phases d’échange avec Google, au cours desquelles plusieurs questionnaires sont soumis à la firme de Mountain View.
  • En octobre 2012, le G29 conclut que ces nouvelles règles ne sont pas conformes à la législation européenne relative aux données personnelles. Google est invité à se mettre en règle avant le 15 février 2013.
  • Le 29 mars 2013, la CNIL décide d’ouvrir en France une procédure de contrôle à l’encontre de Google.
  • Le 13 juin 2013, Google écope d’une mise en demeure de la CNIL : l’entreprise dispose de trois mois pour mettre en œuvre différentes modifications et rentrer ainsi dans le rang au regard de la loi « Informatique et Libertés ».
  • En septembre 2013, la gardienne des données personnelles ouvre une procédure de sanction à l'encontre de Google, qui a répondu à sa mise en demeure en contestant chacun des manquements constatés par la CNIL, affirmant de surcroît que la législation française n’était pas applicable aux traitements de données concernés.
  • Le 3 janvier 2014, la formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 euros contre Google (voir la décision).

Google page d'accueil

 

Venons-en maintenant au cœur du sujet : les manquements sanctionnés par la gardienne des données personnelles. Ils sont de plusieurs ordres.

Une piètre information des utilisateurs

En vertu de la loi Informatique et Libertés, toute personne mettant en œuvre un traitement automatisé de données doit obligatoirement en informer les personnes concernées. Google avait ainsi été sommé de faire des efforts à ce sujet, notamment en indiquant plus clairement à ses utilisateurs pour quelles raisons il collectait leurs données personnelles. En clair, les formules alambiquées utilisées par la firme de Mountain View n’étaient pas suffisamment explicites.

 

Mais pour la CNIL, le compte n’y est toujours pas. En effet, l’autorité administrative retient que la formulation et la présentation des règles de confidentialité de Google ne permettent aujourd'hui pas à l’utilisateur « de prendre conscience des finalités réelles, et par conséquent de l’ampleur de la collecte des données le concernant ». Aux yeux de la Commission, la firme de Mountain View est donc en violation de la loi, « faute de définir des finalités déterminées et explicites pour l’ensemble des traitements qu’elle met en œuvre ».

 

En outre, la CNIL a également sanctionné la façon dont Google permet d’accéder aux informations particulières concernant le traitement des données personnelles. Elle explique ainsi qu’un utilisateur cherchant à comprendre l’utilisation qui sera faite de ses données, pour éventuellement y apporter des modifications, doit passer d’une page à une autre, jonglant ainsi entre « des rubriques diverses, dont les intitulés ne permettent pas une navigation fluide ».

 

Conclusion de l’autorité administrative : « Les informations fournies aux utilisateurs [des services de Google] ne sont pas diffusées de manière suffisamment claire et recentrée ».

Une combinaison illicite de données entre les différents services

Ensuite, la gardienne des données personnelles a estimé que Google combinait illégalement les données des internautes utilisant ses différents services, qu’ils soient « enregistrés » (avec un compte Google), ou non. La Commission visait ici ces cas où la firme de Mountain View recoupe les informations qu’un utilisateur laisse en passant par exemple d’abord sur son moteur de recherche, puis dans Gmail, etc.

 

Le tacle est ici relativement sévère : « L’information relative à la combinaison des données des utilisateurs n’est pas suffisamment visible ni explicite pour que la validation des règles de confidentialité puisse être considérée comme un consentement explicite et éclairé de la part des utilisateurs authentifiés, et la société ne recueille aucun consentement de la part de ses actifs non authentifiés et passifs ».

Cookies

D’autre part, la CNIL estimait que Google ne respectait pas les obligations qui lui incombaient s’agissant du consentement préalable des utilisateurs en matière de dépôt de cookies sur leurs terminaux (ordinateurs, smartphones, etc.). Plus concrètement, pour considérer qu’un utilisateur accepte que des cookies soient déposés lors de son utilisation de services Google, il fallait que trois conditions soient remplies. Un, l’utilisateur devait préalablement y avoir consenti. Deux, il devait avoir été informé de manière claire et suffisante. Trois, il devait avoir manifesté sans ambigüité son accord lors du dépôt.

 

Sauf que ces conditions n’étaient pas réunies selon les conclusions de la CNIL. « La société ne respecte pas son obligation d’obtenir le consentement de la personne avant d’inscrire des informations dans l’équipement terminal de communications électroniques de l’utilisateur ou d’accéder à celles-ci par voie de transmission électronique » retient ainsi l’institution.

Durée de conservation des données personnelles

Lorsqu’une société telle que Google collecte des données personnelles, elle doit également en fixer la durée de conservation. Le responsable d’un traitement ne peut garder indéfiniment des données, il doit en effet respecter un délai « nécessaire aux finalités pour lesquelles [ces données] sont collectées et traitées ». C’est sur cette base que la CNIL a reproché à l’entreprise américaine de ne pas avoir déterminé de durée de conservation pour un certain nombre de données. « En dépit de ce qu’affirme la société, les critères selon lesquels elle détermine les durées de conservation des données de ses utilisateurs demeurent flous et indéterminés ; de ce fait, ils ne satisfont pas aux exigences de la loi » objecte ainsi la CNIL dans sa décision.

La CNIL ne manque quant à elle pas de précision...

Si Google s’est très clairement fait taper sur les doigts pour ne pas avoir été suffisamment clair, la CNIL ne manque pour sa part pas de précision lorsqu’elle décrit la façon dont Google devra publier, pendant 48 heures et sur sa page d’accueil, un communiqué relatif à cette décision. L’institution fait effectivement référence à la police de caractères, à la taille... (voir ci-dessous).

 

Enfin, l’on remarquera que contrairement aux récentes décisions publiées par la CNIL, Google n’a pas été mis à l’amende pour « refus manifeste » de coopérer.

 

google cnil

Google n’exclut pas un éventuel recours

Contacté par PC INpact, un porte-parole de Google nous a transmis la réaction officielle du géant de l'internet : « Nous nous sommes pleinement impliqués tout au long des échanges avec la CNIL afin d'expliquer notre politique de confidentialité et la façon dont elle nous permet de créer des services plus simples et plus efficaces. Nous allons prendre connaissance de sa décision et envisager les suites à y donner ».

 

En clair, tout est possible aujourd'hui, dont un éventuel recours. Si jamais Google s'engageait sur cette seconde voie, il disposerait alors d’un délai de deux mois pour saisir le Conseil d’État.

15 commentaires
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 09/01/14 à 14:54:46

Pourquoi la CNIL a infligé une amende de 150 000 euros à Google ?

A. Pour prouver qu'elle existe.
B. Parce qu'elle ne pouvait pas faire plus.
C. Pour faire rire Google
D. La réponse D

(Perso, je vote A et B... et involontairement C) :transpi:

Avatar de Vachalay INpactien
Avatar de VachalayVachalay- 09/01/14 à 14:57:36

L'amende en elle même est dérisoire pour Google.
Par contre le message à publier sur le portail pendant 48h est plus préjudiciable pour la marque à mon avis.

127.0.0.1 a écrit :

Pourquoi la CNIL a infligé une amende de 150 000 euros à Google ?

A. Pour prouver qu'elle existe.
B. Parce qu'elle ne pouvait pas faire plus.
C. Pour faire rire Google
D. La réponse D

(Perso, je vote A et B... et involontairement C) :transpi:

Je prends le 50/50, JP !:D

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 09/01/14 à 15:01:51

Vachalay a écrit :

L'amende en elle même est dérisoire pour Google.
Par contre le message à publier sur le portail pendant 48h est plus préjudiciable pour la marque à mon avis.

Je prends le 50/50, JP !:D

oui et non. La collecte et l'utilisation de donnée perso par Google ont été a priori suffisamment traitées par les média (même généralistes) pour nourrir mon intime conviction que ça fera schboum là-dedans chez les utilisateurs pendant les deux jours de la peine (et encore : il y a une possibilité de réaction tl;dr) puis que la vie reprendra son cours comme avant.

Avatar de Jarodd Abonné
Avatar de JaroddJarodd- 09/01/14 à 15:03:15

Google ferait mieux de faire amende honorable : pendant 2 ans, il était averti, n'a pas levé le petit doigt, et devrait se satisfaire de ne pas avoir une autre amende pour refus de coopération.

Le problème, c'est que quand ils auront payé, et que les 48h de publication de l'amende sera passé, Google pourra continuer a faire ce pourquoi il a été condamné aujourd'hui. Car je ne vois aucune mise en demeure de se conformer aux obligations émises par la CNIL.

Sinon, je suis fan du Arial sans sheriff :mdr:

Avatar de Bwana INpactien
Avatar de BwanaBwana- 09/01/14 à 15:03:30

Arial, sans sheriff

Edit: Grilled

Édité par Bwana le 09/01/2014 à 15:04
Avatar de DarKCallistO INpactien
Avatar de DarKCallistODarKCallistO- 09/01/14 à 15:09:04

127.0.0.1 a écrit :

Pourquoi la CNIL a infligé une amende de 150 000 euros à Google ?

A. Pour prouver qu'elle existe.
B. Parce qu'elle ne pouvait pas faire plus.
C. Pour faire rire Google
D. La réponse D

(Perso, je vote A et B... et involontairement C) :transpi:

The Walking Dead : Survival Instinct pour ma part. :chinois:

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 09/01/14 à 15:15:42

Vachalay a écrit :

Par contre le message à publier sur le portail pendant 48h est plus préjudiciable pour la marque à mon avis.

D'ailleurs dans la décision ils parlent d'un message sur le site Google.fr, donc ça veut dire toutes les pages, non?

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 09/01/14 à 16:16:23

News a écrit :

Enfin, l’on remarquera que contrairement aux récentes décisions publiées par la CNIL, Google n’a pas été mis à l’amende pour « refus manifeste » de coopérer.

Bah oui, car contrairement aux sociétés concernées par ces amendes, Google a répondu à la CNIL dans les temps impartis. Même si elle réfute tous les points qui sont soulevés…

Khalev a écrit :

D'ailleurs dans la décision ils parlent d'un message sur le site Google.fr, donc ça veut dire toutes les pages, non?

C'est bien marqué &quothttps://www.google.fr", donc uniquement la page d’accueil.

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 09/01/14 à 16:21:56

Mihashi a écrit :

C'est bien marqué &quothttps://www.google.fr", donc uniquement la page d’accueil.

Ah oui exact
page 28:
"sur la page disponible à l'adressehttps://www.google.fr".

Mon lecteur pdf avait zappé les deux dernières pages et ça se terminait sur la page précédente où c'était juste marqué Google.fr.

Merci :chinois:

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 09/01/14 à 16:32:38

Bwana a écrit :

Arial, sans sheriff

Edit: Grilled

En rouge et noiaaaarrr pisseux s'il vous plait, cf les RGB indiquées.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Un litige datant de près de deux ans
  • Une piètre information des utilisateurs
  • Une combinaison illicite de données entre les différents services
  • Cookies
  • Durée de conservation des données personnelles
  • La CNIL ne manque quant à elle pas de précision...
  • Google n’exclut pas un éventuel recours
S'abonner à partir de 3,75 €