Depuis plus d'un an et demi, la CNIL et ses consœurs européennes sont en guerre contre Google au sujet de sa gestion des données personnelles. Pointées du doigt, ses dernières règles de confidentialité mises en place le 1er mars 2012. Depuis, les CNIL européennes et Google se battent à coups de questions-réponses et de propositions. Mais le 20 juin dernier, les CNIL ont donné trois mois à la société américaine pour respecter la loi. Le délai vient de prendre fin.
La présentation de l'actuelle politique de vie privée de Google.
« Coordonner une action répressive »
Le moteur de recherche, qui a selon ses dires simplifié ses règles liées à la vie privée, unifiées à tous ses services, est opposé depuis le début de l'année dernière avec la Commission nationale de l'informatique et des libertés (CNIL) et ses équivalentes en Europe. Toutes estiment au contraire que ces nouvelles règles sont à la fois plus complexes qu'auparavant, tout en générant de nombreuses inquiétudes du fait de l'unification totale.
Depuis, le début de l'année 2012 donc, les critiques pleuvent, au point que les CNIL européennes ont rapidement commencé à menacer de sanction Google. En février dernier notamment, la CNIL a annoncé que « les autorités européennes ont décidé de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent. Un groupe de travail, piloté par la CNIL, a été mis en place afin de coordonner leur action répressive, laquelle devrait être lancée avant l'été. »
Il y a sept mois, la CNIL brandissait donc déjà son épée de Damoclès sur Google : s'il ne plie pas, une sanction tombera. En parlant officiellement de répression possible avant l'été, les commissions européennes ont ainsi entamé leur dernière ligne droite. En juin, un sursis de trois mois a toutefois été donné à l'Américain pour améliorer ses règles liées aux données personnelles. Google devait principalement :
- Définir des finalités déterminées et explicites afin de permettre aux utilisateurs, quel que soit leur statut, d’appréhender concrètement les traitements portant sur leurs données à caractère personnel.
- Procéder à l’information des utilisateurs en application des dispositions de l’article 32 de la loi « informatique et libertés », en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre.
- Définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées.
- Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs.
- Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présent sur la page visitée.
- Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment.
Des sanctions adaptées au nombre d'utilisateurs ?
Si Google avait répondu à toutes ces demandes, l'histoire aurait pris fin sans aucune sanction. Mais selon la CNIL, il n'en est rien. « Au dernier jour du délai de 3 mois accordé à la société Google Inc., la société conteste le raisonnement de la CNIL, et notamment l'applicabilité de la loi Informatique et Libertés aux services utilisés par des résidents en France. Elle n'a donc pas effectué les modifications demandées » explique la commission dans son communiqué. La présidente de la CNIL va ainsi désigner un rapporteur dans le but « d'engager une procédure formelle de sanction » explique-t-on.
Mais à quelles sanctions doit donc s'attendre Google ? Comme nous le notions il y a trois mois, les sanctions possibles sont ridicules, puisque le niveau maximal est de 150 000 euros, tout du moins en France, les autres pays européens prévoyant tout de même des peines un peu plus élevées. Néanmoins, le total de ces peines ne risque pas de faire trembler une multinationale comme Google.
Toutefois, selon Les Échos, un moyen pour sanctionner très lourdement Google pourrait être mis en place. L'astuce consisterait à sanctionner la société non pas globalement, mais par infraction constatée. Notre confrère imagine même que les sanctions pourraient être liées au nombre d'utilisateurs des services de Google, soit des centaines de millions à travers toute l'Europe. La petite amende se transformerait ainsi en milliards d'euros.
La sanction ne sera pas toutefois forcément pécuniaire. Les CNIL européennes pourraient par exemple exiger de Google qu'il ne collecte plus mais aussi n'exploite plus les données de ses utilisateurs. Un scénario qui parait improbable tant les conséquences pour l'Américain seraient catastrophiques, dès lors que ses revenus sont quasi intégralement liés à la publicité ciblée et donc à l'exploitation des données personnelles.
