Cécile Martin, Special International Counsel, et Marianne Le Moullec, Avocate, exerçant au sein du cabinet Proskauer, commentent les actions menées contre Google par la Commission nationale de l'informatique et des libertés (CNIL).
Les autorités de protection des données personnelles de plusieurs Etats membres de l’Union engagent des actions concertées contre Google.
Une première année mouvementée pour la nouvelle politique de confidentialité de Google
L’affaire a commencé en janvier 2012 lorsque Google a publiquement annoncé la refonte de sa politique de gestion des données personnelles. L’objectif affiché était de simplifier et d’unifier en un seul document les quelques 60 règles de confidentialité applicables aux services de Google, tels que le moteur de recherche, la messagerie email, mais également les services de cartographie, de vidéos en ligne, de partage de photos, de forum de discussion etc.
Loin de saluer cette initiative de simplification, les représentants de l’ensemble des autorités de protection des données personnelles des 27 Etats Membres, réunis au sein du G29, ont immédiatement fait part à Google de leurs doutes sur la compatibilité de cette politique avec les principes de la directive européenne n° 95/46/CE relative aux données personnelles et ont demandé, sans succès, à Google de différer la mise en œuvre de cette nouvelle politique.
La CNIL, désignée par le G29 pour conduire l’enquête, a adressé à Google au printemps 2012 deux séries de questions très détaillées sur le traitement des données personnelles des utilisateurs. Les réponses de Google, d’ailleurs consultables en ligne sur le blog de Google, n’ont pas satisfait les autorités et le G29 a, dans ses conclusions communes d’octobre 2012, sommé Google de modifier sa politique de données personnelles.
Qu’est-ce que les autorités reprochent exactement à Google ?
Le G29 a considéré que la simplification de la politique de confidentialité de Google s’est faite au détriment de l’information des utilisateurs sur l’utilisation et l’exploitation de leurs données personnelles.
Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes : l’obligation d’informer les utilisateurs quant au but de la collecte est l’un des principes fondamental de la directive. Or, selon le G29, du fait de la consolidation en un seul document-cadre, l’utilisateur n’est pas en mesure de déterminer, lorsqu’il utilise un service spécifique de Google, quelles sont exactement les données collectées et à quelles fins.
La nouvelle politique prévoit également la possibilité pour Google de combiner les données collectées par ses différents services en un profil unique d’utilisateur. Ainsi, si un utilisateur recherche des recettes de cuisine sur le moteur de recherche, cette information sera utilisée par Google pour lui recommander des vidéos de cuisine lorsqu’il se rend sur son site de vidéos en ligne. Cette combinaison permet notamment à Google de proposer de la publicité ciblée. Or, le G29 considère qu’une telle combinaison, du fait de son ampleur, nécessite le consentement exprès de l’utilisateur.
Enfin, Google n’a pas communiqué clairement au G29 la durée maximum de conservation des données personnelles des utilisateurs, alors que la directive impose de ne pas les conserver indéfiniment.
Une concertation inédite entre les autorités de protection des données personnelles
Les recommandations formulées dans les conclusions du G29 n’ont pas été suivies par Google. C’est pourquoi, prenant acte de cette inertie, les autorités allemandes, espagnoles, italiennes, néerlandaises, anglaises et françaises ont annoncé ensemble le 2 avril 2013 l’ouverture, dans leur pays respectif, d’actions d’enquête et de contrôle à l’encontre de Google. En effet, il n’y a pas à ce jour de procédure unifiée au sein de l’Union européenne, chaque pays disposant de ses propres procédures et sanctions. Pour sa part, la CNIL a notifié à Google l’ouverture d’une procédure de contrôle. A l’issue de cette procédure, la formation contentieuse de la CNIL, composée de 5 membres et d'un président, peut prononcer en cas de violation de la loi diverses sanctions allant du simple avertissement à l’imposition de sanctions pécuniaires d’un montant maximum de 150 000 euros ou 300 000 euros en cas de récidive. Le dossier peut également être transmis au procureur qui peut engager des poursuites pénales sur la base des articles 226-16 et suivants du Code pénal donnant lieu à des sanctions pouvant aller jusqu’à 300 000 euros d’amende et cinq ans d’emprisonnement.
Ainsi, malgré la coopération ad hoc intervenue dans ce dossier entre les différentes autorités, la durée, l’issue et les sanctions encourues varieront nécessairement d’un pays à l’autre. Cette affaire démontre à quel point la réforme, actuellement en cours, de la législation européenne dans ce secteur transfrontalier par nature se doit d’instaurer des règles de compétence entre les autorités nationales, tant pour garantir la protection effective des données personnelles que pour assurer aux entreprises une certaine sécurité juridique au sein de l’Union Européenne.
Cécile Martin, Special International Counsel, et Marianne Le Moullec, Avocate, Proskauer
