Informatique et libertés : la CNIL donne 3 mois à Google

Le G29 – le groupe des CNIL européennes – a mené, de février à octobre 2012, une analyse des règles de confidentialité de Google au regard de la législation européenne en matière de protection des données. Sur la base des conclusions de celle-ci, rendues publiques le 16 octobre 2012, le G29 a demandé à Google de se mettre en conformité, dans un délai de quatre mois.

Après de nouveaux échanges entre Google et un groupe de travail piloté par la CNIL, les autorités de protection des données d’Allemagne, d’Espagne, de France, d’Italie, des Pays-Bas et du Royaume Uni ont, chacune en ce qui la concerne, engagé des procédures répressives à l’encontre de Google.

L’analyse opérée par la CNIL a confirmé les manquements de Google au regard de la loi « informatique et libertés », qui conduisent, concrètement, à ce que l’utilisateur ne soit pas en mesure de connaître l’utilisation qui peut être faite de ses données et de la maîtriser.

C’est dans ces conditions que la présidente de la CNIL a décidé de mettre en demeure la société Google Inc., sous un délai de trois mois, de :
- Définir des finalités déterminées et explicites afin de permettre aux utilisateurs d’appréhender concrètement les traitements portant sur leurs données à caractère personnel ;
- Procéder à l’information des utilisateurs en application des dispositions de l’article 32 de la loi « informatique et libertés », en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre ;
- Définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ;
- Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs ;
- Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présents sur la page visitée ;
- Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment.

L’objet de cette mise en demeure n’est pas de se substituer à Google pour fixer les mesures concrètes à mettre en place, mais de le conduire à se mettre en conformité avec les principes de la loi, sans entraver, ni son modèle économique, ni sa capacité d’innovation.

Si Google Inc. ne se conforme pas à cette mise en demeure dans le délai imparti, la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi « informatique et libertés », pourra prononcer une sanction à l’égard de la société.
Les autorités de protection des données d’Allemagne, d’Espagne, d’Italie, des Pays-Bas et du Royaume Uni poursuivent, dans le cadre de leurs procédures nationales respectives et dans le cadre d’une coopération administrative internationale, leurs investigations.

Ainsi :

Le Directeur de l’autorité de protection des données espagnole a notifié à Google sa décision d’ouvrir une procédure de sanction pour violation des principes fondamentaux de la législation espagnole en matière de protection des données personnelles.

L’autorité de protection des données d’Hambourg (Allemagne) a ouvert une procédure formelle contre Google. Celle-ci commence par une audition formelle, telle que prévue par le droit public allemand, qui pourra donner lieu au prononcé d’un acte administratif enjoignant Google de mettre en œuvre des mesures afin de se conformer à la législation nationale allemande en matière de protection des données personnelles.

Dans le cadre de son enquête, l’autorité de protection des données néerlandaise va délivrer, dans un premier temps, un rapport confidentiel sur les conclusions préliminaires et dans un second temps, demander à Google de fournir des observations sur ce rapport. L’autorité de protection des données néerlandaise tiendra compte de ces observations dans son rapport final sur les conclusions, et pourra par la suite décider de prononcer une sanction.

Après avoir ouvert une procédure formelle d’enquête fin mai, l’autorité de protection des données italienne est dans l’attente de clarifications de la part de Google Inc.. L’autorité italienne évaluera sous peu les éléments pertinents afin de déterminer les mesures d’exécution envisageables, y compris de possibles sanctions, conformément à la législation italienne en matière de protection des données personnelles.

L’autorité de protection des données britannique est en train d’examiner la nouvelle politique de confidentialité de Google afin de déterminer si elle est conforme à la loi de protection des données personnelles britannique de 1998. L’autorité britannique écrira prochainement à Google pour lui faire part de ses conclusions préliminaires.