Google : quatre questions pour comprendre les griefs de la CNIL
La CNIL va engager une procédure formelle de sanction à l’encontre de Google, qui n’a pas mis ses règles de confidentialité en conformité avec la loi française. En quatre questions, Silicon revient sur le différend entre l’autorité et le géant de la recherche.
Rien ne va plus entre la CNIL et Google ! La société Internet américaine ne s’est pas conformée à la loi informatique et libertés française, comme l’exigeait depuis juin la Commission nationale de l’informatique et des libertés.
L’autorité administrative indépendante a donc annoncé vendredi 27 septembre son intention d’engager « une procédure formelle de sanction » contre Google. Silicon revient sur le différend opposant le géant de la recherche et la CNIL tricolore, au travers de quatre questions.
1) Pourquoi le CNIL s’intéresse à Google ?
Google est en position dominante sur les marchés de la recherche et de la publicité en ligne. Dans le cadre de ses activités, l’entreprise collecte et conserve sur ses serveurs un large volume de données. L’objectif consiste à mieux appréhender les comportements de ses utilisateurs et, par extension, en tirer profit.
La multinationale fait donc l’objet de toute l’attention des régulateurs en charge de la protection des données, parmi lesquels la CNIL en France. L’institution « chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques », mène une veille permanente.
Lorsqu’en février 2012, Google a annoncé intégrer une soixantaine de règles de confidentialité distinctes dans une même charte applicable à partir du 1er mars de la même année à l’ensemble de ses services (Google, Google Plus, YouTube…), la CNIL est alors montée au créneau.
La Commission a analysé ces nouvelles règles de confidentialité afin d’écarter « tout malentendu au sujet des engagements de Google en faveur du droit à l’information des utilisateurs et des citoyens ». Les conclusions de cette analyse confirmant « les manquements de Google au regard de la loi informatique et libertés », la Commission l’a mis en demeure le 20 juin 2013 de se conformer, dans un délai de trois mois, à la loi française.
2) Que demande la CNIL ?
La CNIL a relevé six manquements à la loi informatique et libertés, et demande à Google de :
- Définir des finalités déterminées et explicites ;
- Procéder à l’information des utilisateurs sur les finalités des traitements ;
- Définir une durée de conservation des données à caractère personnel traitées ;
- Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs ;
- Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs ;
- Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux.
Au dernier jour de l’ultimatum, Google a contesté le raisonnement de la CNIL, « et notamment l’applicabilité de la loi informatique et libertés aux services utilisés par des résidents en France », et n’a donc pas effectué les modifications demandées, a indiqué l’institution par voie de communiqué. La CNIL a par conséquent désigné un rapporteur « aux fins d’engager une procédure formelle de sanction, telle que prévue par la loi ».
3) Que risque Google ?
Conformément à la loi française, la procédure formelle que la CNIL veut engager pourrait se traduire par une amende de 150 000 euros par infraction, 300 000 euros en cas de récidive, pour Google. Cette éventualité ne risque pas d’inquiéter la multinationale qui a réalisé un chiffre d’affaires de 14,11 milliards de dollars au deuxième trimestre…
4) La CNIL agit-elle seule ?
La procédure menée en France est l’aboutissement d’un examen lancé l’an dernier par le G29, le groupe des CNIL européennes. Celui-ci a d’ores et déjà sommé Google de mettre en conformité ses règles de confidentialité avec la législation européenne en matière de protection des données.
Par ailleurs, les autorités de protection des données en Allemagne, en Espagne, en Italie, aux Pays-Bas et au Royaume Uni ont chacune engagé des procédures répressives à l’encontre de Google, mais leur pouvoir de sanction reste limité.
Pour tenter d’y remédier, les CNIL européennes étudieraient, selon Les Échos, la possibilité de corréler à l’échelle de l’Europe les sanctions au nombre d’utilisateurs des services de Google, ce qui pourrait se traduire par une amende de plusieurs millions d’euros.
[MàJ du 08/01/2014 : La formation restreinte de la CNIL a prononcé le 3 janvier 2014 une sanction pécuniaire de 150 000 euros à l’encontre de Google.]
Voir aussi
