La décision rendue par la CNIL est la conclusion d’un travail conjoint de l’ensemble des Cnil européennes dans la gestion de la protection des individus et de leurs renseignements personnels. C’est le 16 octobre 2012, que le G29, groupe de travail regroupant l’ensemble des autorités de protection des données personnelles européennes, a publié ses conclusions sur la simplification des différentes politiques de confidentialité de Google.Inc en un seul document. Le groupe de travail constatait une insuffisance d’information des utilisateurs sur le traitement de leurs données ; une absence de fondement juridique sur certaines finalités dans la combinaison des données entre les différents services ; et, une absence de définition claire de la durée de conservation des données.
Ces conclusions étaient notamment accompagnées d’une série de recommandations pour permettre à Google.Inc de se mettre en conformité avec la législation européenne de protection des données personnelles. C’est sur le fondement de ces recommandations du G29 restées sans réponses, que la CNIL a décidée le 3 janvier dernier de sanctionner Google.Inc.
Bien que la CNIL salue l’effort de simplification de la société, elle déplore tout de même un non respect des dispositions de la Loi « informatique et libertés » relativement au traitement des informations à caractère personnel détenues par la société.
Le contenu de la décision :
Sur la finalité du traitement, la CNIL constate un manque de clarté et d’information des utilisateurs, conduisant à un manque de compréhension de ces derniers et donc une impossibilité d’exercer les droits qui leurs sont reconnus d’accès, d’opposition et droit de rectification ou d’effacement :
« Ainsi, faute de définir des finalités déterminée et explicites pour l’ensemble des traitements qu’elle met en œuvre au sens de l’article 6-1°), la société ne respecte pas l’obligation qui lui incombe d’informer ses utilisateurs des finalités des traitements opérés sur leurs données.
En outre, au-delà de ce déficit substantiel de l’information de « premier niveau », il s’avère difficile pour l’utilisateur de comprendre l’utilisation qui sera faite de ses données dans le cadre d’un service précis et d’ajuster ses choix en conséquence. »
Sur le consentement : la CNIL, au regard de l’article 32-II de la Loi « informatique et libertés » a considéré que Google ne respectait pas les exigences d’informations préalables des utilisateurs sur l’utilisation des cookies, mentionnant ceux-ci simplement au moment de la connexion à un service et non pour chaque service utilisé. De même, elle considère un manque de clarté et de complétude de cette information.
« Dans ces conditions, il est établi que la société ne respecte pas son obligation d’obtenir le consentement de la personne avant d’inscrire des informations dans l’équipement terminal de communications électronique de l’utilisateur pour accéder à celles-ci par voie de transmission électronique, ce manquement concernant tant les utilisateurs actifs non authentifiés que les utilisateurs passifs de ces services, c’est-à-dire la plus large majorité des utilisateurs concernés. »
Sur la conservation des données : la société ne donne pas d’information sur la durée de conservation, mentionnant qu’elle « communique les durées de conservation qu’elle met en œuvre aux utilisateurs lorsque cela est utile ». La CNIL indique que cela doit être fait pour chaque type de traitement et qu’en l’espèce la société ne répond pas à cette obligation.
Sur la collecte : il est mentionné dans les règles de confidentialité de Google que « les informations personnelles que vous fournissez pour l’un de nos services sont susceptibles d’être combinées avec celles issues d’autres services Google (y compris les informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. »
La Cnil considère que la société procède sans base légale à la combinaison de l’intégralité des données des utilisateurs dans l’ensemble de ces services sans laisser à ces derniers la possibilité de s’y opposer. Au regard de l’article 7 de la Loi, elle considère que « la société ne peut se prévaloir, pour chacun de ses utilisateurs, d’un recueil du consentement, de la nécessité d’exécution d’un contrat ou d’un juste équilibre entre son intérêt légitime et les droits fondamentaux de ses utilisateurs ».
Ainsi, la sanction apportée par la Cnil s’inscrit dans la continuité des décisions rendues par les autorités néerlandaises et espagnoles sur le même sujet. Cependant, au delà du consensus, cette décision révèle une sanction symbolique de la part de la France et de la CNIL qui condamne la société à une amende de 150 000€, soit l’équivalent de deux minutes de chiffre d’affaire, rendant la transgression peut dommageable au regard d’un éventuel calcul cout/bénéfice.
La portée de cette décision révèle également un processus long et peuplé de différents acteurs qui rendent la réaction moins efficace, il apparaitrait alors la possibilité de considérer un pouvoir direct aux autorités européennes sur la question en donnant au G29, la possibilité de prononcer des sanctions directes, assorties d’un pouvoir d’astreinte pour assurer la réparation rapide de l’atteinte à la PRP.