Le droit des données à caractère personnel doit être respecté que l’on ait affaire à un hébergeur ou à un éditeur. Et c’est ce que nous allons constater en étudiant l’affaire Google.
Commençons par un bref rappel des faits.
Le 24 janvier 2012, veille de la présentation du projet de règlement européen sur le droit des données à caractère personnel, Google change sa politique de confidentialité en invoquant le fait qu’il souhaite simplifier ses 60 politiques différentes. La Commission nationale de l’informatique et des libertés (CNIL) demande donc un rapport sur la mise en œuvre de ces règles, cependant et sans attendre, Google fait entrer en vigueur sa nouvelle politique le 1er mars 2012. En février 2012, la CNIL est désignée par le G29 (réunion des 28 CNIL européennes) pour analyser ces règles. Un rapport est rendu le 16 octobre 2012 et deux questionnaires ont été envoyés à Google qui a fourni ses réponses en avril et en juin 2012, sans que celles-ci ne soient satisfaisantes.
Ce qui est alarmant, ce sont les chiffres : 91% des Français utilisent Google ; Google connaît 30 trillions de document web ; Google c’est 100 milliards de requêtes par mois ; les données à caractère personnel des Européens représentent 315 milliards d’euros.
C’est pourquoi la CNIL s’intéresse de près aux pratiques de Google vis-à-vis de la politique de confidentialité des données à caractère personnel.
Les points principaux relevés par le rapport du 16 octobre 2012 du G29.
Ce qu’il faut retenir c’est que Google fournit à ses utilisateurs une information incomplète sur le traitement de ces données et combine les données alors que les utilisateurs ne l’y ont pas autorisé. Aussi ce qui est intéressant à savoir, c’est pour quels motifs Google combine les données. Ce n’est pas pour notre sécurité, mais pour des enjeux bien plus triviaux que le géant du web se permet de le faire. C’est pour permettre une plus pertinente publicité, pour Google AdWords, pour les analyses de Google Analytics, en somme pour permettre un meilleur ciblage pour Google et ses clients.
La CNIL émet donc des recommandations à Google, à savoir :
Elle préconise que les informations données soient complètes et que la finalité soit indiquée, que les règles de proportionnalité soient respectées, de ne pas modifier les données des utilisateurs sans leur consentement, et le plus important, la CNIL demande que le consentement des utilisateurs soit toujours demandé.
Suite à ce rapport, Google est mis en demeure par la CNIL le 20 juin 2013.
Google est donc mis en demeure par la présidente de la CNIL de se conformer à la Loi informatique et libertés dans un délai de 3 mois. Mais Google répond le dernier jour en contestant le raisonnement de la CNIL et ne satisfaisait donc pas aux demandes
Le 27 septembre 2013, la CNIL indique qu’elle compte engager une procédure formelle de sanction contre Google.
Google répond encore une fois au dernier jour du délai qui lui est laissé en contestant l’applicabilité de la Loi informatique et liberté.
Google finalement sanctionné par la CNIL le 3 janvier 2014
150 000 euros d’amende, c’est la plus grosse sanction pécuniaire que la CNIL peut demander. De plus, la CNIL enjoint Google de publier pendant 48 heures un communiqué sur sa page d’accueil concernant cette décision de sanction. Cependant, si l’on met en parallèle cette sanction avec la taille de la société Google, on remarque bien que cette somme est dérisoire. Google interjette appel de cette décision en déposant une requête devant le Conseil d’État. Le 7 février 2014, le Conseil d’État confirme la sanction de la CNIL par une ordonnance.
Mélissa PEREIRA
Etudiante en M2 Gestion et Droit de l’économie numérique. Passionnée par les problématiques des droits de la personnalité et de propriété intellectuelle liées au numérique.