Si pour beaucoup la créativité de Google suscite un engouement immédiat et une adhésion massive, elle génère parfois aussi des inquiétudes sur les implications de ses merveilleux outils.
Dans le cas présent, c’est l’autorité française en charge de la protection des données personnelles, la CNIL, qui s’est penchée de façon très approfondie sur les services de géo-localisation « Google Latitude », associés aux services « Google Map » et « Google Street View ». Il s’en est suivi la plus forte sanction jamais infligée par la CNIL à ce jour, à savoir 100.000 € [1].
Le service « Google Street View », qui offre aux internautes une vue panoramique des rues à 360°, avait déjà provoqué une intervention de la CNIL par le passé. Elle avait exigé (i) le floutage des visages et plaques d’immatriculation sur les photos, (ii) la limitation de la durée de conservation des originaux des photos, et (iii) la création d’une rubrique « signaler un problème » permettant à quiconque d’exercer son droit à l’anonymat. D’autres pays Européens comme la Belgique et l’Allemagne se sont fait l’écho de préoccupations similaires.
La décision de la CNIL en date du 17 mars 2011 porte cette fois sur les données collectées pour la mise en œuvre du service « Google Latitude », qui permet la géo-localisation d’utilisateurs ayant à la fois un compte Google et un « smartphone ».
Afin de mettre en place ce service, la société a eu recours aux véhicules utilisés pour le service « Google Street View », les « Google Cars », dotés de caméras à 360° et de capteurs, pour collecter différents types de données. Ces données sont non seulement des vues panoramiques des lieux parcourus, mais également des données techniques, associant les signaux radio (GSM et Wi-Fi) aux positions GPS des « Google Cars », et notamment les identifiants SSID (nom identifiant un réseau sans fil) et les adresses MAC (numéro unique identifiant une carte réseau) des points d’accès Wi-Fi. Aujourd’hui, la base est enrichie par la collecte des données captées et transmises par les mobiles des utilisateurs (c’est-à-dire les adresses MAC et SSID à proximité de ceux-ci).
A la lecture de la délibération, il apparaît que la CNIL a entamé, dès l’annonce du lancement du nouveau service en février 2009, un examen approfondi dans le cadre d’une longue procédure ponctuée d’épisodes, que l’on pourrait presque qualifier de rocambolesques. Cette procédure s’est matérialisée par des réunions, un échange nourri de correspondance et pas moins de sept contrôles sur place entre décembre 2009 et août 2010. Malgré cela, la CNIL a appris certaines informations par des communiqués de presse.
Cette procédure a abouti, le 26 mai 2010, à une mise en demeure, elle-même suivie, le 17 mars 2011, d’une décision de sanction.
1. Collecte massive et involontaire de données dites « de contenu »
Suite à une erreur de programmation du code source du logiciel de collecte, Google a effectué via les « Google cars » une collecte « massive » mais involontaire de données dites « de contenu » issues de bornes Wi-Fi (« payload data »). Ces données contenaient des informations sur les sites internet consultés par les personnes concernées, le contenu de messages échangés, ainsi que les identifiants et mots de passe permettant de se connecter à certains sites. Dans certains cas, elles révélaient même des informations sensibles sur l’orientation sexuelle ou la santé des personnes.
Cette situation, qui s’est produite dans un grand nombre de pays, a été rendue publique le 14 mai 2010 par Google dans un communiqué de presse, et corrigée depuis lors.
Au vue de la gravité des faits et du nombre de personnes concernées, la CNIL a notifié le 26 mai 2010 dans l’urgence une mise en demeure sur un certain nombre de points.
Bien que cette collecte ait été faite en violation de la loi Informatique et Libertés et porte atteinte à la vie privée, au secret des correspondances et à la liberté d’expression, elle n’a pas donnée lieu à sanction. En effet, la CNIL a estimé que le manquement avait cessé et que la collecte ne peut être qualifiée de déloyale ou illicite puisqu’elle n’avait pas été intentionnelle.
2. Qualification de « traitement de données personnelles » pour la collecte de données techniques
Les adresses MAC des routeurs ne sont pas, en elles même, des données personnelles. Les identifiants SSID ne le sont pas non plus, sauf lorsqu’ils contiennent les noms et/ou prénoms des titulaires de réseau.
Cependant, la CNIL considère qu’en raison notamment de la finalité pour laquelle ces données sont collectées, à savoir la localisation d’une personne physique, « la collecte conjointe des identifiants SSID et adresses MAC, en association avec les données de géo-localisation est de nature à qualifier » cette collecte de traitement de données personnelles.
3. Manquement à l’obligation de déclaration auprès de la CNIL
En tant que traitement de données à caractère personnel, la collecte de données techniques, que ce soit via les « Google Cars » ou les terminaux mobiles d’utilisateurs, doit faire l’objet d’une déclaration préalable auprès de la CNIL.
(i) « Google Street View »
Google avait déclaré le dispositif « Google Street View » auprès de la CNIL mais sans préciser la collecte de données techniques. A la suite de la mise en demeure de la CNIL, Google a modifié la déclaration. La CNIL n’a donc pas retenu de manquement de Google sur ce fondement.
(ii) « Google Latitude » et la question de l’utilisation d’équipements situés en France
Google n’a pas déclaré le dispositif « Google Latitude » auprès de la CNIL. Elle le justifie en invoquant l’article 5-I-2° de la loi Informatique et Libertés, selon lequel les traitements de données à caractère personnel réalisés par un responsable non établi sur le territoire français, ne sont soumis à la loi française que dans la mesure où celui-ci « recourt à des moyens de traitement situés sur le territoire français ». Or, selon Google, étant établi aux Etats-Unis et n’ayant recours à aucun moyen de traitement sur le territoire français, la loi française ne lui serait pas applicable.
La CNIL considère que :
• il y a bien une entité établie en France, à savoir la SARL Google France ; et par ailleurs
• des moyens de traitement ont été et sont utilisés sur le territoire français, à savoir :
o les « Google cars » par le passé pour l’établissement de la base initiale ; et
o les terminaux des utilisateurs eux-mêmes aujourd’hui, lorsqu’ils sont utilisés à des fins de géo-localisation.
Ainsi, la CNIL a sanctionné Google pour manquement à son obligation de déclaration du traitement de données à caractère personnel relatif à « Google Latitude ».
4. Manquement à l’obligation d’effectuer une collecte licite et loyale
La CNIL considère que la collecte des données par le bais des « Google cars », ou des terminaux mobiles des utilisateurs de « Google Latitude », étant faite à l’insu des personnes concernées, est effectuée de manière déloyale et donc en violation de l’article 6, 1° de la loi Informatique et Libertés.
Google, se fonde sur l’article 32, III de la loi Informatique et Libertés qui fait exception à l’obligation d’informer les personnes concernées lorsque l’ « information est impossible ou exige un effort disproportionné par rapport à l’intérêt de la démarche ». Or, l’information individuelle des titulaires des adresses MAC et des identifiants Wi-Fi est impossible à mettre en œuvre par Google, dès lors qu’il n’existe aucun lien direct entre la société et ces personnes.
Cependant, la CNIL considère que si l’information individuelle est effectivement impossible, Google aurait du mettre en œuvre des mesures d’information générale, que ce soit dans la presse locale ou par la mise en ligne d’information sur le site Internet en « .fr », à l’effet de permettre aux personnes de s’opposer à la diffusion des données les concernant. De ce fait, un manquement à la loi a été commis.
5. Manquement à l’obligation de fournir des renseignements
Arguant d’une interprétation extensive de son droit d’avoir communication de tout « document nécessaire à l’accomplissement de sa mission, quel que soit son support », la CNIL reproche à la société de ne pas lui fournir les codes source des nouveaux logiciels servant à la collecte de données.
6. Avantages retirés par les manquements
La CNIL relève que, alors même qu’elle les a collectées en infraction avec la loi, les données collectées pour le service « Google Latitude » « confèrent à Google un avantage indéniable sur ses concurrents, lui permettant d’offrir des services de géo-localisation performants ». Ces services, « qui génèrent un trafic très important, sont par là-même susceptibles de générer des ressources publicitaires, lesquelles constituent l’essentiel du chiffre d’affaires de la société ».
7. Sanctions
La CNIL dans sa délibération du 17 mars 2011 a donc :
• infligé à Google une sanction pécuniaire de 100 000 € ; et
• décidé, eu égard à la gravité des manquements et pour des raisons de sensibilisation des personnes concernées, de la publication in extenso non seulement de la décision mais aussi de la délibération elle-même sur son site internet et sur Légifrance. En revanche, en l’absence de mauvaise foi de Google, il n’y a pas eu de publication dans la presse.
Google dispose de deux mois pour exercer un recours devant le Conseil d’Etat.
________________________________________________________________________________
[1] Délibération de la CNIL n°2011-35 disponible sur le site www.cnil.fr accompagnée d’un communiqué