Google France sanctionnée

Une sanction pécuniaire de 150 000 a été prononcée par la CNIL à l’encontre de la société Google pour non respect de la loi « informatique et libertés ». Le communiqué de la sanction a été en page d’accueil de Google.fr pendant huit jours.

La société Google Inc. a soulevé en vain, l’inapplicabilité de la loi du 6 janvier 1978 à ses services établis aux Etats Unis. La société Google France a été considérée comme responsable d’un traitement de données personnelles établi en France dès lors que, parmi les activités de la société Google France, figure l’exploitation de services de publicité en ligne. Or, l’exploitation de ces services est étroitement liée à l’exploitation des données personnelles des internautes français. En particulier, la collecte et le traitement des cookies sur les terminaux des internautes français est bien constitutive d’un traitement de données personnelles établi en France indépendamment de la localisation technique des serveurs.

Politique de confidentialité unifiée mais non conforme

Le 1er mars 2012, Google a décidé de fusionner en une seule politique les 60 différentes règles de confidentialité applicables à ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision. Le “ G29 “, groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n’était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n’ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.

Manquements constatés

Il est principalement reproché à Google :

i) De ne pas suffisamment informer ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n’étant pas déterminées comme l’exige la loi, ni l’ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d’exercer leurs droits, notamment d’accès, d’opposition ou d’effacement.

ii) De ne pas respecter les obligations qui lui incombent d’obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.

iii) De ne pas fixer de durées de conservation pour l’ensemble des données qu’elle traite.

iv) De procéder, sans autorisation, à la combinaison de l’intégralité des données qu’elle collecte sur les utilisateurs à travers l’ensemble de ses services (interconnexion et croisement de bases de données personnelles).

Statut de l’adresse IP

La CNIL a rappelé que les identifiants uniques comme l’adresse IP, bien qu’ils n’aient pas de lien direct avec l’identité proprement dite de la personne, permettent à Google d’attribuer à celle-ci l’ensemble des données issues de son utilisation de ses services, qu’elle ait été ou non authentifiée, dans des proportions telles qu’il est impossible de ne pas considérer que celles-ci ne sont pas identifiantes, à tout le moins indirectement.

La qualification de données à caractère personnel peut ainsi s’appliquer non seulement à l’adresse IP et aux données collectées par le vecteur des cookies, mais également à tous les types d’identifiants uniques, tels que celui du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas du fingerprinting , ou encore l’identifiant généré par un logiciel ou un système d’exploitation.

Les données relatives aux visiteurs de sites tiers sur lesquels la régie publicitaire de Google est présente (et que celle-ci collectera) sont l’adresse IP de l’utilisateur, le nom du site ainsi que l’identifiant unique présent dans le cookie DoubleClick, qui sert à améliorer la pertinence de la publicité affichée. Disposant de cet identifiant cookie et de son adresse IP, la société pourra reconnaître l’utilisateur à l’occasion de visites ultérieures de sites également partenaires de DoubleClick, afin de lui adresser des publicités personnalisées, notamment en fonction de l’analyse de son comportement de navigation.

En d’autres termes, l’accumulation de données qu’elle détient sur une seule et même personne lui permet de la singulariser à partir d’un ou de plusieurs éléments qui lui sont propres. Ces données doivent, en tant que telles, être considérées comme identifiantes et non comme anonymes.

Faible information des internautes

Comme l’a déjà relevé l’avis n°10/2004 du 25 novembre 2004 du G29, l’information de l’internaute sur la collecte de ses données doit se faire par strate et dissocier deux niveaux d’information : d’une part, les informations de premier niveau, qui sont les plus importantes à connaître pour les personnes ; d’autre part, des informations qui ne présentent vraisemblablement d’intérêt qu’en seconde intention. Ces informations doivent être formulées en un langage simple, direct et sans ambiguïté.

Parmi les informations essentielles de premier niveau figurent, outre l’identité du responsable de traitement, les finalités du traitement et toute information supplémentaire nécessaire afin de garantir un traitement loyal de l’information vis-à-vis des personnes concernées. Faute de définir des finalités déterminées et explicites pour l’ensemble des traitements qu’elle met en œuvre au sens de l’article 6-1°), Google ne respecte pas l’obligation qui lui incombe d’informer ses utilisateurs des finalités des traitements opérés sur leurs données.

Consentement de l’internaute

L’internaute doit également recevoir, préalablement au dépôt et à la lecture de cookies ou de toute autre technologie, une information claire et complète sur les finalités de ceux-ci ainsi que sur les moyens dont il dispose pour s’y opposer, et que son consentement préalable est requis pour que le cookie puisse être déposé.

La CNIL a constaté que le bandeau dont la société Google affirme qu’il est une pratique du secteur apparaît sur deux de ses services, certes majeurs (Google Search et Youtube), mais qu’il fait défaut sur des services tout aussi importants tels que Google Maps, Google+, Google Drive ou Google Analytics. En outre, l’information fournie sur ce bandeau ne permet pas aux utilisateurs des services de la société d’être informés de manière suffisamment précise des finalités poursuivies par la société quant à l’utilisation des cookies. En effet, celle-ci ne fait mention que du fait que des cookies sont déposés en vue d’assurer le bon fonctionnement des services . L’information ainsi délivrée, par sa généralité, ne peut en tant que telle satisfaire à l’objectif d’information claire et complète des utilisateurs fixé par la loi.

Sanction précédente de Google

A noter qu’il s’agit là de la sanction pécuniaire la plus élevée prononcée jusqu’à présent par la CNIL contre Google. Une précédente sanction d’un montant de 100 000 € avait été prononcée (délibération n°2011-035 du 17 mars 2011) au titre de la collecte déloyale de données nominatives par les voitures Street View. La CNIL avait alors enjoint à la société de cesser toute collecte de données à l’insu des personnes concernées dans le cadre du traitement Google Street View, s’agissant en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de routeurs Wi-Fi et des données de connexion issues de bornes Wi-Fi (adresses, identifiants, mots de passe …).

Mots clés : Sanctions CNIL

Thème : Sanctions CNIL

A propos de cette jurisprudence : juridiction :  CNIL | Date : 3 janvier 2014 | Pays : France