L’affaire continue. Le 27 septembre 2013 dernier expirait le délai accordé par la Commission nationale de l’informatique et des libertés (CNIL) à la Société Google Inc., pour la mise en conformité de sa nouvelle politique de confidentialité à la loi Informatique et Libertés en vigueur depuis le 6 janvier 1978 et modifiée. Au terme de celui-ci, le constat est sans appel : le géant américain n’a pas satisfait aux demandes de la mise en demeure lui ayant été adressées le 10 juin 2013. Comment la protection des données personnelles des utilisateurs pourrait-elle être assurée alors que le rapport entre l’autorité française et la société Google Inc. peut s’identifier à celui de David face à Goliath ?
Google-iath
Si David craignait la taille et l’armure de défense de Goliath, pour la CNIL, Google-iath est un géant aux multiples têtes, bien plus compliqué à atteindre. En effet, rappelons que Google Inc., fondée aux Etats-Unis le 4 septembre 1998, possède aujourd’hui des filiales dans le monde entier et pèse plus de 50 milliards de dollars de chiffre d’affaires par an. C’est grâce à la création de son moteur de recherche « Google » créé en 2000, que la société s’est peu à peu appropriée l’intra-net, occupant une place de choix parmi les « Big four » existants sur le réseau, à savoir Amazon.com, Apple et Facebook.
L’expansion rapide de ses activités est cependant actuellement contrariée par la nature même de son moteur de recherche qui, par définition, fonctionne à l’aide d’un module de collecte automatique des données procédant à une exploration de l’ensemble des ressources disponibles sur intra-net (serveurs web, sites web, réseaux de liens etc..). Ainsi, selon les paramétrages de ce robot, la quête des données peut s’élargir jusqu’à atteindre les données personnelles des utilisateurs des multiples services de Google. Or, lorsque ces données personnelles sont mises en cause, les textes et organismes nationaux ou européens s’élèvent en protecteurs des internautes, agissant pour mettre fin aux abus des géants économiques et en l’espèce, de Google-iath. Efficaces ou non, ces autorités de protection des données personnelles ont décidé de lutter…
L’objet du contentieux opposant David à Google-iath : « l’or noir »
A la manière de Goliath, la provocation de Google-iath a débuté ostensiblement le 1er mars 2012. En cause, la nouvelle politique de confidentialité du géant américain qui a décidé d’unir les conditions générales d’utilisation de 70 de ses services, autrefois séparées, en un seul et même document, en arguant aux utilisateurs que cela permettrait une navigation plus fluide et intuitive de ses services : « en partageant vos données avec nous,(…) vous nous permettez d’améliorer encore la qualité de ces services, en améliorant la pertinence des annonces et des résultats qui vous sont proposés, en vous aidant à établir des contacts ou en facilitant et en accélérant le partage de vos données ».
Ainsi, sous couvert de simplification de ses nombreux services (Gmail, Google Play, Google+, Youtube..), cette unification des conditions générales de vente permet à la société d’accéder de manière large à la combinaison de l’ensemble des données personnelles des utilisateurs de ces services lorsqu’ils les utilisent. Le croisement des informations personnelles ne s’arrête pourtant pas à ce stade et s’étend également aux activités des personnes non authentifiées ou passives sur des sites web tiers dès lors qu’elles utilisent, par exemple, les options « DoubleClik » ou les boutons « +1 » proposés par Google. Un véritable « aspirateur à données personnelles ».
Concrètement, cette collecte peut servir à proposer des publicités ciblées sur les services de Google (ex : sur Youtube ou sur le moteur de recherche), en lien avec les données collectées de l’utilisateur. Ainsi, si une personne utilise Google Map sur son téléphone mobile, le croisement de données de géolocalisation et de données de l’historique des mots-clés tapés par l’internaute permet de présenter les publicités d’entreprises situées dans un périmètre proche, susceptibles de présenter un intérêt pour celui-ci.
De tels outils peuvent sembler utiles mais il est difficile pour l’utilisateur moyen et avisé de prendre conscience de l’étendue de ces collectes et de leurs croisements. Cela s’est notamment révélé lors d’une enquête de l’observatoire des réseaux sociaux de l’Ifop (Institut Français d’Opinion Publique), qui affirmait que 82% des internautes français appartenaient à au moins un réseau social sans prendre conscience, pour la plupart, de l’exploitation qui était faite de leurs données personnelles.
De ce fait, il ne semble pas, pour les autorités de protection des données personnelles, que l’unification des conditions d’utilisations des services de Google de 2012 ait donné une meilleure lisibilité de l’implication de ces utilisations pour les internautes.
Les autorités de protection des données personnelles européennes unies avec David face à Google-iath
Face à Google-iath et sa nouvelle politique de confidentialité de 2012, la CNIL telle David, n’a jamais été seule dans la lutte pour la protection des données personnelles.
Pour la première fois, les 27 autorités de protections des données personnelles européennes s’étaient unies contre le géant sous la forme du G 29 : le Groupe de l’Article 29. Considérant que l’unification des CGU des services de Google n’étaient pas conformes à la Directive européenne sur la protection des données (95/46/CE), la CNIL avait été mandatée pour enquêter. En coopération et pour le compte de ses homologues européens, cette dernière avait alors adressé un premier questionnaire à la société visant à « clarifier les implications de ces nouvelles règles pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites » et à « vérifier si la combinaison de données entre services est conforme au droit européen ». Les réponses fournies par Google étaient restées incomplètes et approximatives et avaient justifié l’envoi d’un questionnaire complémentaire.
Suite à des mois d’enquête, les conclusions et recommandations publiées le 16 octobre 2012 confirmaient le non respect de la nouvelle politique de confidentialité de Google aux exigences de la directive. Celles-ci avaient pointé le manque de transparence et la difficulté de compréhension de ces nouvelles règles pour l’internaute affirmant que « les droits fondamentaux et les libertés des personnes concernées prévalent sur l’intérêt qu’a Google de mettre en œuvre la combinaison extensive des données » et que « la combinaison de données entre services doit respecter les principes de la proportionnalité, de limitation des finalités, de minimisation de données et du droit d’opposition ». Les autorités de protection des données recommandaient alors à Google de « détailler pour chaque traitement de données et pour chaque service les finalités et données collectées de manière claire et précise » ainsi que de « définir plus clairement les durées de conservation des données ».
En mars 2013, sans modification et mise en conformité par Google de ses règles de confidentialité à la directive CE, les autorités européennes avaient alors exprimé la volonté de s’unir dans une action répressive et coordonnée. En l’état, six pays (Allemagne, Espagne, France, Italie, Pays-Bas et le Royaume-Uni) avaient exprimé la volonté de lancer une procédure à l’encontre du géant américain.
David seul face à Google-iath
Les enquêtes et recherches du G29 terminées, la CNIL avait alors choisi d’entamer sa propre analyse des règles de confidentialité du géant au regard de la loi n°78-17 du 6 janvier 1978 modifiée. Les premiers pas de David contre Google-iath se sont concrétisés par l’adresse à Google Inc. d’une mise en demeure le 20 juin 2013. Un délai de trois mois avait été accordé à la société pour se mettre en conformité avec la loi française. Il s’agissait pour Google de définir des finalités déterminées et explicitées aux traitements portant sur les données à caractère personnel des utilisateurs de ses services, de définir une durée de conservation de ces données et de mettre en œuvre un système d’opt-in avant l’installation de cookies dans les terminaux des internautes.
Le 27 septembre dernier, le délai expirait sans que les demandes de la CNIL n’aient été prises en compte par Google Inc., qui conteste le raisonnement de l’autorité française et en particulier l’applicabilité de la loi Informatique et Libertés aux services utilisés par des résidents en France. Google-iath est fort face à David.
La fronde de David
Dans son communiqué du 27 septembre 2013, face à cet échec, la présidente de la CNIL annonçait la prochaine désignation d’un rapporteur pour engager une procédure formelle de sanction conformément à ce qui est prévu par la Loi du 6 janvier 1978 modifiée ; sanction très limitée qui ne peut s’élever à plus de 150 000 euros. Si David à l’aide de sa fronde a réalisé la prouesse de mettre à terre Goliath, il serait cependant difficile d’imaginer Google-iath sentir même un picotement en recevant le projectile de la CNIL.
Face aux capacités limitées de sanctions de celle-ci et des autres autorités européennes de protection des données personnelles ayant engagé des procédures à l’encontre de Google Inc., le G29 se met en quête de sanctions plus lourdes pour la contraindre à se mettre en conformité avec les textes nationaux. Il s’agirait éventuellement d’infliger une amende indexée sur le nombre d’utilisateurs ou, d’une interdiction d’exploiter les données personnelles tant que le document de Google, objet du contentieux, n’est pas mis en conformité avec les lois de chaque Etat. Difficile d’imaginer de telles sanctions voir le jour.
En tout état de cause, il semblerait qu’il faille patienter plusieurs mois avant d’obtenir de nouvelles informations sur les suites de l’affaire. Google-iath reste pour l’instant un géant bien difficile à atteindre.
Dans cette attente, il faudra cependant être attentif au projet de révision du droit européen sur les données personnelles « le Data Protection Regulation » ainsi qu’à la modernisation en cours, par le Conseil de l’OCDE (Organisation pour le Commerce et le Développement Économique), des lignes directrices en matière de vie privée.
Sources :
ANONYME., « Vie privée : la France lance une procédure contre Google », lemonde.fr, mis en ligne le 27 septembre 2013, consulté le 2 octobre 2013, disponible sur <http://www.lemonde.fr/technologies/article/2013/09/27/donnees-personnelles-la-france-engage-une-procedure-contre-google_3486226_651865.html>
ANONYME., « CNIL européennes : pas de super-amende groupée contre Google », zdnet.fr, mis en ligne le 2 octobre 2013, consulté le 2 octobre 2013, disponible sur <http://www.zdnet.fr/actualites/cnil-europeennes-pas-de-super-amende-groupee-contre-google-39794505.htm>
ANONYME., « Confidentialité : la Cnil engage contre Google une procédure de sanction », lepoint.fr, mis en ligne le 27 septembre 2013, consulté le 2 octobre 2013, disponible sur <http://www.lepoint.fr/high-tech-internet/confidentialite-la-cnil-engage-contre-google-une-procedure-de-sanction-27-09-2013-1735975_47.php>
JAIMES N., « La Cnil va lancer une procédure de sanction contre Google », journaldunet.com, mis en ligne le 27 septembre 2013, consulté le 2 octobre 2013, disponible sur <http://www.journaldunet.com/ebusiness/le-net/cnil-google-mise-en-demeure-0913.shtml>
PEPIN G., « La CNIL ne prévoit pas de sanction rehaussée contre Google », lemonde.fr, mis en ligne le 1er octobre 2013, consulté le 2 octobre 2013, disponible sur <http://www.lemonde.fr/technologies/article/2013/10/01/la-cnil-ne-prevoit-pas-de-sanction-rehaussee-contre-google_3487885_651865.html>