Pourquoi la CNIL a infligé une amende de 150 000 euros à Google

L’aspect financier de la récente sanction de la CNIL à l’égard de Google ne doit pas faire oublier que l’institution a avant tout mis en exergue les manquements de l’entreprise américaine vis-à-vis de la législation française en matière de données personnelles. Alors que le géant de l’internet nous a confié qu’il n’excluait pas de faire appel de cette décision, retour sur ce qui a poussé la gardienne des données personnelles à punir Google.

Après avoir écopé d’une amende de 900 000 euros en Espagne, Google vient d’être sanctionné à hauteur de 150 000 euros en France. La CNIL a d’une certaine manière sorti l’artillerie lourde, puisqu’il s’agit d’une amende « record », d’un montant correspondant au maximum que l’institution peut infliger. Le géant de l’internet devra également diffuser « pendant 48 heures » un communiqué relatif à cette décision sur la page d’accueil de son moteur de recherche, site le plus visité de France.

Un litige datant de près de deux ans

Rappelons l’objet du litige : les règles de confidentialité de Google, ce texte unifiant dans un seul texte les dispositions applicables à l’ensemble des produits et services proposés par la firme de Mountain View, de Picasa à YouTube, en passant par Gmail ou Google Maps. Concrètement, il s’agit des articles régissant l’utilisation que fait Google des données personnelles qu’il récupère suite à l’utilisation de ses services par n’importe quel internaute, qu’il s’agisse d’une personne ayant un compte Google ou un simple visiteur.

Depuis l’entrée en vigueur de cette nouvelle « politique », le 1er mars 2012, s’en sont suivi de nombreuses péripéties entre la CNIL et l’entreprise américaine. Voici les principales étapes :

• En février 2012, la CNIL est mandatée par le « G29 » pour auditer ces nouvelles règles de confidentialité. Les différentes autorités européennes demandent alors à Google de suspendre momentanément son projet de fusion, le temps d’évaluer ses dispositions. L’entreprise américaine refuse.

• La CNIL se lance alors dans des phases d’échange avec Google, au cours desquelles plusieurs questionnaires sont soumis à la firme de Mountain View.

• En octobre 2012, le G29 conclut que ces nouvelles règles ne sont pas conformes à la législation européenne relative aux données personnelles. Google est invité à se mettre en règle avant le 15 février 2013.

• Le 29 mars 2013, la CNIL décide d’ouvrir en France une procédure de contrôle à l’encontre de Google.

• Le 13 juin 2013, Google écope d’une mise en demeure de la CNIL : l’entreprise dispose de trois mois pour mettre en œuvre différentes modifications et rentrer ainsi dans le rang au regard de la loi « Informatique et Libertés ».

• En septembre 2013, la gardienne des données personnelles ouvre une procédure de sanction à l'encontre de Google, qui a répondu à sa mise en demeure en contestant chacun des manquements constatés par la CNIL, affirmant de surcroît que la législation française n’était pas applicable aux traitements de données concernés.

• Le 3 janvier 2014, la formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 euros contre Google (voir la décision).

Venons-en maintenant au cœur du sujet : les manquements sanctionnés par la gardienne des données personnelles. Ils sont de plusieurs ordres.

Une piètre information des utilisateurs

En vertu de la loi Informatique et Libertés, toute personne mettant en œuvre un traitement automatisé de données doit obligatoirement en informer les personnes concernées. Google avait ainsi été sommé de faire des efforts à ce sujet, notamment en indiquant plus clairement à ses utilisateurs pour quelles raisons il collectait leurs données personnelles. En clair, les formules alambiquées utilisées par la firme de Mountain View n’étaient pas suffisamment explicites.

Mais pour la CNIL, le compte n’y est toujours pas. En effet, l’autorité administrative retient que la formulation et la présentation des règles de confidentialité de Google ne permettent aujourd'hui pas à l’utilisateur « de prendre conscience des finalités réelles, et par conséquent de l’ampleur de la collecte des données le concernant ». Aux yeux de la Commission, la firme de Mountain View est donc en violation de la loi, « faute de définir des finalités déterminées et explicites pour l’ensemble des traitements qu’elle met en œuvre ».

En outre, la CNIL a également sanctionné la façon dont Google permet d’accéder aux informations particulières concernant le traitement des données personnelles. Elle explique ainsi qu’un utilisateur cherchant à comprendre l’utilisation qui sera faite de ses données, pour éventuellement y apporter des modifications, doit passer d’une page à une autre, jonglant ainsi entre « des rubriques diverses, dont les intitulés ne permettent pas une navigation fluide ».

Conclusion de l’autorité administrative : « Les informations fournies aux utilisateurs [des services de Google] ne sont pas diffusées de manière suffisamment claire et recentrée ».

Une combinaison illicite de données entre les différents services

Ensuite, la gardienne des données personnelles a estimé que Google combinait illégalement les données des internautes utilisant ses différents services, qu’ils soient « enregistrés » (avec un compte Google), ou non. La Commission visait ici ces cas où la firme de Mountain View recoupe les informations qu’un utilisateur laisse en passant par exemple d’abord sur son moteur de recherche, puis dans Gmail, etc.

Le tacle est ici relativement sévère : « L’information relative à la combinaison des données des utilisateurs n’est pas suffisamment visible ni explicite pour que la validation des règles de confidentialité puisse être considérée comme un consentement explicite et éclairé de la part des utilisateurs authentifiés, et la société ne recueille aucun consentement de la part de ses actifs non authentifiés et passifs ».

Cookies

D’autre part, la CNIL estimait que Google ne respectait pas les obligations qui lui incombaient s’agissant du consentement préalable des utilisateurs en matière de dépôt de cookies sur leurs terminaux (ordinateurs, smartphones, etc.). Plus concrètement, pour considérer qu’un utilisateur accepte que des cookies soient déposés lors de son utilisation de services Google, il fallait que trois conditions soient remplies. Un, l’utilisateur devait préalablement y avoir consenti. Deux, il devait avoir été informé de manière claire et suffisante. Trois, il devait avoir manifesté sans ambigüité son accord lors du dépôt.

Sauf que ces conditions n’étaient pas réunies selon les conclusions de la CNIL. « La société ne respecte pas son obligation d’obtenir le consentement de la personne avant d’inscrire des informations dans l’équipement terminal de communications électroniques de l’utilisateur ou d’accéder à celles-ci par voie de transmission électronique » retient ainsi l’institution.

Durée de conservation des données personnelles

Lorsqu’une société telle que Google collecte des données personnelles, elle doit également en fixer la durée de conservation. Le responsable d’un traitement ne peut garder indéfiniment des données, il doit en effet respecter un délai « nécessaire aux finalités pour lesquelles [ces données] sont collectées et traitées ». C’est sur cette base que la CNIL a reproché à l’entreprise américaine de ne pas avoir déterminé de durée de conservation pour un certain nombre de données. « En dépit de ce qu’affirme la société, les critères selon lesquels elle détermine les durées de conservation des données de ses utilisateurs demeurent flous et indéterminés ; de ce fait, ils ne satisfont pas aux exigences de la loi » objecte ainsi la CNIL dans sa décision.

La CNIL ne manque quant à elle pas de précision...

Si Google s’est très clairement fait taper sur les doigts pour ne pas avoir été suffisamment clair, la CNIL ne manque pour sa part pas de précision lorsqu’elle décrit la façon dont Google devra publier, pendant 48 heures et sur sa page d’accueil, un communiqué relatif à cette décision. L’institution fait effectivement référence à la police de caractères, à la taille... (voir ci-dessous).

Enfin, l’on remarquera que contrairement aux récentes décisions publiées par la CNIL, Google n’a pas été mis à l’amende pour « refus manifeste » de coopérer.

Google n’exclut pas un éventuel recours

Contacté par PC INpact, un porte-parole de Google nous a transmis la réaction officielle du géant de l'internet : « Nous nous sommes pleinement impliqués tout au long des échanges avec la CNIL afin d'expliquer notre politique de confidentialité et la façon dont elle nous permet de créer des services plus simples et plus efficaces. Nous allons prendre connaissance de sa décision et envisager les suites à y donner ».

En clair, tout est possible aujourd'hui, dont un éventuel recours. Si jamais Google s'engageait sur cette seconde voie, il disposerait alors d’un délai de deux mois pour saisir le Conseil d’État.