Une sanction record

Après des mois de négociations infructueuses et face au refus affirmé de Google Inc. de se conformer à la loi Informatique et Liberté, la CNIL, réunie en formation restreinte le 3 janvier 2014, a condamné Google Inc. à une sanction pécuniaire de 150 000 € assortie d’une publication de la décision sur le site de la CNIL[1] et sur le site google.fr.
 
Il s’agit là du montant maximal de sanction que la CNIL puisse infliger (sauf cas de récidive qui peut donner lieu à une sanction de 300 000€). Rappelons que dans une précédente procédure la CNIL avait condamné Google à une amende de 100 000 €, qui était déjà le record de l’époque.[2]
 

Le contexte

Cette décision intervient dans le cadre des investigations qui avaient été menées par le Groupe de l’article 29 sur la nouvelle politique de Google en matière de traitement des données des internautes (notamment la combinaison de données de différentes sources), et surtout fait suite à la mise en demeure par la CNIL de Google Inc, le 20 Juin 2013, de se conformer à la loi Informatique et Libertés sous un délai de trois mois.[3]
 

La décision

La délibération de la CNIL montre que Google n’est pas resté sans combattre dans la procédure de sanction, les fondements abordés ayant couverts : la loi applicable (établissement en France et moyens de traitement en France et en particulier l’usage des cookies et la qualification de l’adresse IP), les données non nominatives mais de personnes indirectement identifiables, le contenu de l’obligation d’information, la question du consentement préalable (notamment pour les cookie sur site tiers et les mesures d’audience), en quoi consiste une politique de durée de conservation et les bases légales de la légitimité d’un traitement.
 
La formation restreinte retient que les données en question sont bien des données personnelles et que la loi française est applicable.
 
Il est intéressant de noter que « sur le fond, la formation restreinte ne conteste pas la légitimité de l’objectif de simplification poursuivi par la société en fusionnant ses politiques de confidentialité. »
Pour autant, la CNIL constate l’absence de conformité de la nouvelle politique de confidentialité à la loi Informatique et Liberté, jugeant que Google Inc. :

  • n’informe pas ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, ni l’ampleur des données collectées à travers les différents services et ne sont pas mis en mesure d’exercer leurs droits.
  • n’a pas obtenu le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.
  • ne fixe pas de durée de conservation pour l’ensemble des données collectées (même si elle le fait pour certaines)
  • et s’autorise, sans base légale, à combiner les données collectées par ses services sur les différents utilisateurs.

 

Les autres autorités de l’UE

Cette condamnation par la CNIL vient peu de temps après la condamnation de Google Inc. par l’autorité espagnole Agencia Española de Protección de Datos (AEPD), à hauteur de 900 000 € (en fait, 3 fois 300 000) en décembre 2013, sur la base d’une triple infraction reprenant certains des motifs invoqués par la CNIL. [4]

D’autres autorités ont entamé une procédure susceptible d’être suivie de sanctions. Il sera intéressant de voir si cela suffira à faire plier le géant d’internet, voire si cela aura un impact sur les pratiques d’autres acteurs.


[1] http://www.cnil.fr/linstitution/actualite/article/article/la-formation-restreinte-de-la-cnil-prononce-une-sanction-pecuniaire-de-150000-EUR-a-lencontre/

[2] Lire notre article Google Street View et Google Latitude : Sanction de 100.000 € prononcée par la CNIL

[3] Lire nos précédents articles :
Feuilleton Google : début d’une procédure de sanction (octobre 2013)
– CNIL vs Google : suite du bras de fer (juin 2013)
Groupe 29 : nouvelle étape dans la croisade contre les règles de confidentialité de Google (avril 2013),
Conclusion de l’enquête de la CNIL et recommandations du G 29 (WP 29) sur le règles de confidentialité de Google (octobre 2012),
Google sous le feu des questions de la CNIL sur ses règles de confidentialité (mars 2012),
Le changement des paramètres de confidentialité de Google provoque une levée de bouclier (février 2012)
  [4] Communiqué de presse en Espagnol de  AEPD  https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2013/notas_prensa/common/diciembre/131219_NP_AEPD_POL_PRIV_GOOGLE.pdf

Stéphanie Faber est Membre de  voxFemina – Paroles d’Experts au Féminin