- L’origine du problème des « données personnelles » collectées par Google
Tout le monde parle de « données personnelles » collectées par Google sans savoir vraiment ce que cela recouvre concrètement.
De plus, plusieurs millions de personnes sont concernées en France par les traitements des données à caractère personnel de la part de Google.
A titre liminaire, Google est le leader mondial sur le marché de la recherche d'informations sur Internet et de la fourniture de services associés.
En l’espèce, le 24 janvier 2012, Google a annoncé son projet de fusionner une soixantaine de règles de confidentialité applicables à autant de ses services (Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc…) dans un seul document intitulé règles de confidentialité ou politique de confidentialité.
La société a indiqué son intention de mettre en ligne ces nouvelles règles au 1er mars 2012.
A cette annonce, le groupe de coordination des autorités européennes de protection des données dit groupe de l'article 29 ou G29 a pris la décision d'apprécier les conséquences de ce projet sur la protection des données personnelles des citoyens de l'Union européenne au regard des dispositions de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de leurs données à caractère personnel et à la libre circulation de ces données.
Au cœur de ses préoccupations figurait la détermination de l'impact de ce projet de nouvelles règles quant à la combinaison des données que la société collecte sur ses utilisateurs.
A cet effet, le G29 a décidé de la création d'un groupe de travail ad hoc et confié à l'autorité française de protection des données (la CNIL) le soin de mener les discussions avec Google dans le cadre de ces travaux.
Le 2 février 2012, le G29 a informé la société de cette décision en lui demandant de suspendre ce projet de fusion dans l'attente de ses conclusions, ce que celle-ci a refusé.
A l'issue de ces discussions, le G29 a considéré que la société ne se conformait pas aux exigences de la directive précitée.
Un courrier signé des 27 autorités composant le G29 a donc été adressé en ce sens à Google formulant des recommandations pratiques visant à guider la société vers une mise en conformité.
La société Google Inc. n'a pas donné de suite effective à celles-ci et six autorités européennes ont engagé à son encontre des procédures répressives.
C’est dans ce contexte que la Commission Nationale de l'Informatique et des Libertés (ci-après CNIL) a sanctionné Google.
- Délibération de la CNIL du 3 janvier 2014
La Commission Nationale de l'Informatique et des Libertés (ci-après CNIL) estime que les règles de confidentialité mises en œuvre par Google depuis le 1er mars 2012 ne sont pas conformes à la loi « informatique et libertés ». (CNIL, formation restreinte, 3 janvier 2014, Délibération n°2013-420 prononçant une sanction pécuniaire à l'encontre de la société Google Inc.).
Nous envisagerons ci-après en détail la portée juridique de la décision rendue, le 3 janvier 2014, aux termes de laquelle la CNIL a successivement considéré que :
- la loi française s'applique aux traitements des données personnelles des internautes résidant en France (a) ;
- les données relatives aux utilisateurs des services de Google en France et traitées par cette société sont bien des données à caractère personnel (b) ;
- Google n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement (c) ;
- Google ne respecte pas les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux (d) ;
- Google ne fixe pas de durées de conservation pour l'ensemble des données qu'elle traite (e) ;
- Google s'autorise, sans base légale, à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services (f).
a) La CNIL considère que Google est soumise à la loi n°78-17 du 6 janvier 1978 sur les traitements de données à caractère personnel
La CNIL considère que la société Google France SARL participe de manière effective à des activités liées aux traitements de données relatives aux utilisateurs de ses services.
Elle relève à cet égard que l'activité de publicité en ligne, qui constitue une contrepartie à la mise à disposition gratuite par la société de ses services aux utilisateurs, et qui génère la majeure partie de ses revenus, est indissociable du traitement des données des utilisateurs.
En effet, c'est précisément grâce à la quantité considérable de données dont elle dispose sur eux qu'elle peut garantir aux annonceurs des prestations de ciblage publicitaire d'une grande précision, au plus proche des centres d'intérêt des personnes.
La formation restreinte relève à cet égard que parmi les activités de la société Google France déclarées en 2003 au Registre du commerce et des sociétés figurent notamment l'intermédiation en matière de vente de publicité en ligne, la promotion sous toutes ses formes de la publicité en ligne et la promotion directe de produits et services et la mise en œuvre de centres de traitement de l'information.
Compte tenu de l'importance que revêtent ces activités localisées en France, la société Google France constitue un établissement au sens de la loi n°78-17 du 6 janvier 1978 pour les traitements ayant pour finalité la publicité.
La circonstance que les opérations techniques de traitement des données aient lieu hors de France, en l'occurrence aux Etats-Unis, est sans incidence sur cette qualification.
De plus, la CNIL a relevé que la société Google Inc. recourt à des moyens de traitement sur le territoire national par le biais des cookies ou de dispositifs similaires dans le but de collecter des informations dont la société sera l'unique destinataire.
Or, l'article 2 de la loi n°78-17 du 6 janvier 1978 modifiée attribue la qualification de traitement notamment à toute opération de collecte, enregistrement, consultation, extraction, communication par transmission, diffusion ou toute autre forme de mise à disposition.
Ainsi, l'accès aux informations relatives à l'utilisateur par le vecteur du cookie et leur lecture constituent bien des traitements au sens de cet article.
En outre, l'article 32-II de la loi n°78-17 du 6 janvier 1978 modifiée fait explicitement peser une obligation d'information préalable sur le responsable de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement, celui-ci étant expressément qualifié de responsable de traitement par le texte.
Par suite, tout moyen permettant de procéder à de telles actions doit être qualifié de moyen de traitement au sens de la loi n°78-17 du 6 janvier 1978 modifiée.
Cette disposition traduit le souhait du législateur européen exprimé à l'article 5, paragraphe 3 de la directive 2002/58/CE modifié par l'article 2 de la directive 2009/136/CE qui dispose que le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement . Le champ d'application de la directive 95/46/CE étant limité aux traitements de données à caractère personnel, à l'exclusion de tout autre traitement, la référence à ce texte ainsi qu'aux finalités des traitements opérés conduit à interpréter cette disposition comme qualifiant toute activité de stockage ou de lecture d'informations par l'intermédiaire de cookies de traitement de données à caractère personnel.
Par conséquent, selon la CNIL « l'ensemble des équipements et logiciels participant à ces actions d'écriture ou de lecture - y compris les cookies et les outils similaires - doivent être considérés comme des moyens de traitement ».
De plus, la CNIL a considéré que Google exerce un degré de contrôle suffisant, voire substantiel, sur les moyens de traitement évoqués plus haut, quel que soit le service qu'elle fournit aux utilisateurs concernés.
Si ceux-ci peuvent effectivement choisir d'éteindre leur terminal ou suspendre leur connexion Internet, la société a en revanche la totale maîtrise des dispositifs de stockage ou d'accès à des informations qui, tels que les cookies, sont déposés dans le terminal de l'utilisateur.
En outre, selon la CNIL Google détermine seule la finalité de la collecte et la nature des données qui lui remonteront par ce vecteur et exerce donc un degré de contrôle substantiel et suffisant sur ces moyens de traitement.
La société Google Inc. ayant recours à des moyens de traitement sur le territoire français est soumise à l'application de la loi française.
b) La CNIL considère que Google collecte des données à caractère personnel au sens de l'article 2 de la loi de 1978
Selon l'article 2 de la loi n°78-17 du 6 janvier 1978 modifiée, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne .
Une première catégorie de données correspond aux utilisateurs dits authentifiés, c'est-à-dire aux personnes qui, pour avoir accès à un service dont le fonctionnement repose sur la création d'un compte utilisateur (par exemple des comptes Gmail, Google+, Google Play ou Google Docs), se sont préalablement authentifiées au travers d'une interface ad hoc (le compte Google).
Les données contenues dans ce compte sont notamment les suivantes : nom, prénom, données de vérification du mot de passe, pseudonyme, date de naissance, sexe, pays, éventuellement adresse électronique alternative, numéro de téléphone, photo du profil public de la personne, carte de crédit, etc.
Google a également accès à la liste des applications installées sur un terminal Androïd, la boite mail et l'ensemble des messages associés, les photos (service Picasa) et les documents (service Google Drive ou Docs) détenus par l'utilisateur, les données de localisation du terminal mobile, les paramètres du terminal et du navigateur, les identifiants uniques comme le numéro IMEI, les visites de sites tiers, etc...
Les données générées par l'utilisation des services de Google par un utilisateur authentifié sont accessibles à l'ensemble de ceux-ci, y compris ceux ne requérant pas d'authentification préalable.
Une seconde catégorie de données correspond aux personnes qui accèdent à un service offert par la société sans authentification préalable à travers un compte Google.
Ces utilisateurs dits non authentifiés relèvent de deux sous-catégories :
- Les utilisateurs actifs non authentifiés, qui ont recours à un service de Google sans que l'accès à celui-ci soit conditionné par une authentification préalable. Au premier rang de ces services figurent Google Search, Google Maps ou YouTube.
Les données collectées sur les utilisateurs du moteur de recherche sont les termes de la recherche, l'adresse IP de l'utilisateur, ses préférences (option linguistique, etc.), les informations issues de deux cookies installés par le service (dénommés PREF et NID), qui contiennent eux-mêmes de nombreuses données, dont des identifiants uniques. Sont également collectées les données dérivées de fonctionnalités spécifiques du service, qui permettent d'apprécier les conditions de leur utilisation à distance (ex : la vitesse de frappe de l'utilisateur via la fonctionnalité Google Suggest ). Des données de natures différentes seront issues des services YouTube et Google Maps (localisation, etc.).
A partir de l'adresse IP et des identifiants présents dans les cookies installés sur le terminal de l'utilisateur, Google reconnaîtra celui-ci automatiquement quand il utilisera d'autres services Google ultérieurement. Elle associera ainsi les données issues de ces services à celles issues de services utilisés précédemment.
Or, il est incontestable que les facultés d'identification des personnes s'accroissent au fur et à mesure que s'intensifie le croisement de leurs données, notamment les termes de leurs requêtes dans le service Google Search - comme l'a démontré l'affaire dite AOL Stalker de 2006.
Il suffira notamment que l'utilisateur laisse apparaître son identité une seule fois lors de l'utilisation d'un des services librement accessibles de Google (par exemple dans l'hypothèse d'egosurfing ou autogoogling , c'est-à-dire la recherche de son propre nom dans le moteur de recherche) pour que celle-ci soit définitivement associée aux données que sa navigation a précédemment générées.
- Les utilisateurs dits passifs, c'est-à-dire ceux d'entre eux qui n'ont pas recours par eux-mêmes à un service Google, mais dont la société collecte néanmoins les données de manière indirecte.
Lorsque ces utilisateurs naviguent sur des sites sur lesquels la régie publicitaire de Google est présente, la société va collecter leurs adresses IP, les sites sur lesquels ils se trouvent, ainsi que les identifiants uniques présents dans des cookies spécifiques alors dénommés Double Click.
Tel est le cas quand ces utilisateurs se connectent à des sites Internet tiers faisant appel aux services de Google pour mesurer leur fréquentation (Google Analytics), proposer de la publicité ciblée à leurs visiteurs en fonction de leurs profils (Google Adwords), fournir un plan de situation (Google Maps), etc.
Cette collecte a également lieu quand une personne adresse un courrier électronique à un utilisateur du service Gmail : quand bien même l'expéditeur ne serait pas un utilisateur Google, le contenu de son message sera scanné par la société, qui affichera de la publicité ciblée aux côtés des messages qu'il recevra de son correspondant.
De même, Google propose aux webmasters d'inclure un bouton +1 sur leurs sites pour permettre aux utilisateurs de recommander des articles ou des publications sur le réseau social Google+ sur lequel ils ont ouvert un compte. Lorsqu'un utilisateur se rend sur un de ces sites, la société en est informée du simple fait de l'affichage du bouton, qui conduit aussitôt au dépôt et à la lecture de cookies, sans même qu'il soit besoin pour l'utilisateur de cliquer. Cette information s'opère via les cookies NID, PREF et UserID pour les utilisateurs authentifiés, les cookies NID et PREF pour les utilisateurs actifs non-authentifiés, et le seul cookie NID pour les utilisateurs passifs. Les utilisateurs, quel que soit leur statut, seront ré-identifiés dès qu'ils visiteront ultérieurement le même site ou tout autre site sur lequel figure également le bouton +1.
Ainsi, les données relatives aux visiteurs de sites tiers sur lesquels la régie publicitaire de Google est présente (et que celle-ci collectera) sont l'adresse IP de l'utilisateur, le nom du site ainsi que l'identifiant unique présent dans le cookie Double Click, qui sert à améliorer la pertinence de la publicité affichée. Disposant de cet identifiant cookie et de son adresse IP, la société pourra reconnaître l'utilisateur à l'occasion de visites ultérieures de sites également partenaires de Double Click, afin de lui adresser des publicités personnalisées, notamment en fonction de l'analyse de son comportement de navigation.
En outre, un utilisateur pourra posséder alternativement, voire cumuler les trois qualifications ci-dessus. Par exemple, les données relatives à une personne qui se sera authentifiée au début d'une session de navigation (ex : pour se connecter à son compte Gmail) seront associées à celles issues de l'utilisation de services Google ne requérant pas d'authentification préalable, cette association étant rendue possible par l'inscription dans le navigateur de l'internaute du cookie PREF qui est commun aux services authentifiés ou non-authentifiés.
En accroissant sa connaissance sur l'utilisateur, la société peut lui proposer des services supplémentaires. A titre d'exemple, un utilisateur authentifié dont l'historique Web est activé pourra sélectionner des prédictions de requêtes basées sur les recherches qu'il aura précédemment effectuées dans les paramètres de la fonctionnalité Google Suggest. En contrepartie, la société valorisera l'information ainsi affinée dans son modèle publicitaire.
Par ailleurs, aux termes d’une analyse technique précise la CNIL a conclu que Google « procède, sans distinction, au traitement de données à caractère personnel au sens de l'article 2 de la loi n°78-17 du 6 janvier 1978 modifiée, que ce soit sur les utilisateurs authentifiés ou non-authentifiés ».
En premier lieu, elle relève que la société ne conteste pas traiter, dans de nombreux cas, des données directement identifiantes. Ainsi, les données figurant dans les comptes individuels ouverts en vue de la fourniture de services à des utilisateurs authentifiés constituent, sans discussion possible, des données à caractère personnel. Le lien existant entre ces informations d'identification de l'utilisateur et les cookies associés à son adresse IP a pour effet d'attraire l'ensemble des données correspondantes dans la sphère des données directement identifiantes.
En second lieu, il est exact que les données collectées à l'occasion de la navigation d'utilisateurs non authentifiés (actifs ou passifs) ne peuvent être automatiquement considérées comme directement identifiantes dès lors que, prises isolément, elles ne se rapportent qu'au seul terminal (fixe ou portable) ou au seul navigateur de l'utilisateur, non identifié.
Pour autant, il importe de rappeler que les législateurs européen et français ont consacré une conception large de la notion de donnée à caractère personnel, qui peut être directement ou indirectement identifiante. Ainsi, la possibilité d'identifier une personne déterminée à partir d'identifiants spécifiques ou d'un ou plusieurs éléments qui lui sont propres conduit à regarder ceux-ci comme des données à caractère personnel.
La CNIL relève, à cet égard, que le seul et unique objectif poursuivi par la société consiste à recueillir un maximum d'éléments sur des personnes singularisées afin d'optimiser la valorisation de leurs profils sur le plan publicitaire. Son modèle économique ne requiert donc pas de connaître les nom, prénom, adresse ou autres éléments directement identifiants sur les personnes, qui ne lui sont pas nécessaires pour les reconnaître lors de chaque nouvel usage qu'elles feront de ses services.
Cependant, les éléments qu'elle collecte à cette fin, qui peuvent être combinés entre eux comme la société l'a prévu en adoptant ses nouvelles règles de confidentialité, lui permettent de cerner avec une précision extrême le comportement d'une machine et, derrière celle-ci, de son utilisateur, à laquelle elle est capable in fine d'affecter les caractéristiques de son activité quotidienne, ses interactions avec autrui, ses centres d'intérêt, des éléments liés à sa personnalité, ses choix de vie, etc.
En d'autres termes, l'accumulation de données qu'elle détient sur une seule et même personne lui permet de la singulariser à partir d'un ou de plusieurs éléments qui lui sont propres. Ces données doivent, en tant que telles, être considérées comme identifiantes et non comme anonymes.
En tout état de cause, des identifiants uniques comme l'adresse IP, bien qu'ils n'aient pas de lien direct avec l'identité proprement dite de la personne, permettent à la société d'attribuer à celle-ci l'ensemble des données issues de son utilisation de ses services, qu'elle ait été ou non authentifiée, dans des proportions telles qu'il est impossible de ne pas considérer que celles-ci ne sont pas identifiantes, à tout le moins indirectement.
La qualification de données à caractère personnel peut ainsi s'appliquer non seulement à l'adresse IP et aux données collectées par le vecteur des cookies, mais également à tous les types d'identifiants uniques, tels que celui du terminal ou d'un composant du terminal de l'utilisateur, le résultat du calcul d'empreinte dans le cas du fingerprinting, ou encore l'identifiant généré par un logiciel ou un système d'exploitation.
Cette qualification s'impose d'autant plus que, comme indiqué précédemment, il suffit que l'utilisateur s'authentifie une seule fois auprès d'un service de la société (par exemple Gmail) pour que l'ensemble de sa navigation subséquente soit couplée à son profil directement identifiant.
c) Sanction de Google pour manquement à l'obligation d'informer les internautes
L'obligation d'information des personnes est prévue par l'article 32 de la loi n°78-17 du 6 janvier 1978 modifiée.
Elle consiste à mettre les internautes en mesure de comprendre la manière dont leurs données seront traitées, et ce de manière effective et complète au regard des circonstances de la collecte.
L'article 32-I de la loi du 6 janvier 1978 modifiée prévoit que la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant :
1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
2° De la finalité poursuivie par le traitement auquel les données sont destinées;
3° Du caractère obligatoire ou facultatif des réponses ;
4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
5° Des destinataires ou catégories de destinataires des données ;
6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre;
7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne(...) .
La manière dont cette information est fournie est sans incidence à condition que ces informations soient formulées en un langage simple, direct et sans ambiguïté.
La précision et la clarté de l'information communiquée aux personnes concernées sont essentielles pour leur permettre de comprendre les conditions dans lesquelles leurs données sont collectées et traitées, ainsi que, le cas échéant, d'exercer effectivement les droits qui leur sont reconnus par la loi : droit d'opposition (article 38), droit d'accès (article 39), droit de rectification ou d'effacement (article 40).
Les données collectées sont variées : données de géolocalisation, échanges de mails, requêtes dans le moteur de recherche, paiement par Google Wallet, mises en ligne d'informations sur Google+, mise en ligne ou requêtage de vidéos sur YouTube, etc…
Or, les services Google Search, Wallet, Analytics, Maps, Drive, Youtube, etc. n'ont rien de commun, si ce n'est la possibilité (qui plus est pour les seuls utilisateurs authentifiés) de s'y connecter à travers un compte unique permettant la jonction fonctionnelle de services de natures différentes, et le fait que Google s'est autorisée à combiner les données issues de l'utilisation de ses services par les personnes, quel que soit leur statut, dans des conditions indéterminées.
Cette variété de données découle donc de :
- la fourniture de services extrêmement divers par Google ;
- différents statuts d'utilisateurs concernés par la collecte de données.
Or, les règles de confidentialité de Google n'évoquent que la fourniture d'un service global, sans préciser les finalités des catégories de traitements opérés sur ses données.
Cette information générale ne permet donc pas à l'utilisateur, authentifié ou non, de prendre conscience des finalités réelles, et par conséquent de l'ampleur de la collecte des données le concernant.
Par conséquent, elle ne lui permet pas davantage de mesurer l'intérêt que peut revêtir, pour lui, tant la recherche d'informations complémentaires quant à la manière dont ses données sont traitées et/ou combinées que l'exercice de ses droits, afin de maîtriser l'usage de ses données.
Ainsi, la CNIL a considéré que « faute de définir des finalités déterminées et explicites pour l'ensemble des traitements qu'elle met en œuvre au sens de l'article 6-1°), la société ne respecte pas l'obligation qui lui incombe d'informer ses utilisateurs des finalités des traitements opérés sur leurs données » et que « les informations fournies aux utilisateurs de ces services ne sont donc pas diffusées de manière suffisamment claire et recentrée pour satisfaire aux exigences de l'article 32-I de la loi ».
d) Sur le manquement de Google à l'obligation d'obtenir le consentement de la personne avant d'inscrire des informations ou d'accéder à celles-ci
Aux termes du II de l'article 32 de la loi du 6 janvier 1978 modifiée, tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable de traitement ou son représentant:
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
- des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après en avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
De plus, l'utilisateur doit recevoir, préalablement au dépôt et à la lecture de cookies ou de toute autre technologie visée par l'article 32-II, une information claire et complète sur les finalités de ceux-ci ainsi que sur les moyens dont il dispose pour s'y opposer, et que son consentement préalable est requis pour que le cookie puisse être déposé.
La CNIL a estimé que l'information fournie par Google aux utilisateurs « ne remplissait pas les impératifs de clarté et de complétude exigés par la loi et que l'utilisateur n'était pas en mesure d'exprimer valablement son accord préalablement au dépôt de cookies Google sur des sites tiers, a mis la société en demeure d'informer les utilisateurs, quel que soit leur statut, puis d'obtenir leur accord préalable avant d'inscrire des informations dans leur équipement terminal de communications électroniques ou d'accéder à celles-ci par voie de transmission électronique ».
La notion de consentement s'entend de toute manifestation de volonté, libre, spécifique et informée.
Ce consentement doit :
1) être obtenu préalablement à l'enregistrement ou à la lecture de toute information sur le poste de l'utilisateur,
2) après délivrance d'une information claire et suffisante à la personne,
3) et manifester sans ambigüité l'accord de celle-ci à l'opération réalisée par le responsable de traitement.
En l'espèce, la CNIL a vérifié si les utilisateurs sont bien mis en mesure d'exprimer un consentement conforme aux exigences de la loi avant que des informations ne soient enregistrées ou lues sur leur terminal.
A cet égard, la CNIL considère que Google « ne respecte pas son obligation d'obtenir le consentement de la personne avant d'inscrire des informations dans l'équipement terminal de communications électroniques de l'utilisateur ou d'accéder à celles-ci par voie de transmission électronique, ce manquement concernant tant les utilisateurs actifs non authentifiés que les utilisateurs passifs de ses services, c'est-à-dire la plus large majorité des utilisateurs concernés ».
La société ne respecte donc pas les exigences de la mise en demeure sur ce point.
e) Sur le manquement de Google à l'obligation de définir une durée de conservation des données
L'article 6-5°) de la loi n°78-17 du 6 janvier 1978 modifiée dispose que les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
L'obligation légale imposant de définir des durées de conservation précises constitue une garantie fondamentale en matière de protection de la vie privée des personnes.
Il s'agit en effet de prévenir que des données révélant notamment leur intimité (fichiers, courriels, photos, etc.) soient conservées sans limitation, au-delà de ce que celles-ci peuvent légitimement attendre de la société.
Les trois types de durées de conservation sont :
- l'effacement du dernier octet des adresses IP dans les journaux des serveurs de Google (par exemple 9 mois) ;
- la validité des cookies déposés dans les navigateurs des utilisateurs (par exemple 2 ans) ;
- l'anonymisation du numéro de cookie dans les journaux des serveurs de la société (par exemple 18 mois).
Pour la CNIL, Google n'a défini aucune durée de conservation précise pour les données qu'elle collecte et traite.
f) Sur la combinaison illégale par Google de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services
Les règles de confidentialité de Google, dans leur version applicable au 27 septembre 2013, prévoient que les informations personnelles que vous fournissez pour l'un de ses services sont susceptibles d'être combinées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez.
Le recoupement de données en provenance de cookies DoucleClick avec des données permettant de vous identifier n'est possible qu'avec votre accord explicite.
Cette disposition autorise Google à procéder à la combinaison de l'intégralité des données qu'elle collecte sur ses utilisateurs à travers l'ensemble de ses services, qu'ils soient authentifiés, non authentifiés ou passifs, que ce soit sur les données d'un même utilisateur ou entre les données de plusieurs utilisateurs.
Ainsi, concernant les utilisateurs authentifiés, les données renseignées dans un compte utilisateur peuvent être associées aux données dérivées de l'utilisation de tous ses services par ce même utilisateur ; ces données pourront alors être utilisées par l'ensemble de ceux-ci, qu'ils ne soient accessibles qu'aux utilisateurs authentifiés ou à toutes les catégories d'utilisateurs des services de la société.
Ces données seront associées entre elles et utilisées par tout autre service, par exemple pour personnaliser des résultats de recherche, aux fins d'analyse, d'affichage de publicités personnalisées ou de développement produit.
Or, de telles combinaisons sont soumises à l'application de l'article 7 de la loi n° 78-17 du 6 janvier 1978 modifiée dont les dispositions pertinentes prévoient que, pour être mis en œuvre, de tels traitements doivent avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes (...) :
4°) L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5°) La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.
Selon la CNIL, Google procède, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs, quel que soit leur statut sans respecter les impératifs légaux précités.
En l'espèce, la CNIL relève que la mention de cette faculté de combinaison n'apparaît qu'au milieu des règles de confidentialité, dans le dernier tiers de la rubrique intitulée "Comment nous utilisons les données que nous collectons".
Par ailleurs, en se contentant de prévoir que les informations personnelles que vous fournissez pour l'un de nos services, sans les listés, sont susceptibles d'être combinées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez, la société n'a pas suffisamment précisé la nature de la combinaison qu'elle compte opérer sur les données personnelles de ses utilisateurs pour que ceux-ci puissent être réputés avoir compris la portée de leur accord.
Ainsi, la CNIL a estimé que :
« l'information relative à la combinaison des données des utilisateurs n'est pas suffisamment visible ni explicite pour que la validation des règles de confidentialité puisse être considérée comme un consentement explicite et éclairé de la part des utilisateurs authentifiés, et la société ne recueille aucun consentement de la part de ses utilisateurs actifs non authentifiés et passifs ».
Dans ce contexte, la CNIL a condamné pour la première fois Google au paiement d’une amende symbolique de 150.000 € et « compte tenu du caractère massif des données collectées par la société, du nombre important et indéterminé des personnes concernées, qui pour nombre d'entre elles ne sont pas en mesure de s'y opposer ni même d'en être informées, la formation restreinte estime nécessaire d'ordonner l'insertion de cette décision sur le site Google.fr ».
Je suis à votre disposition pour toute action ou information (en cliquant ici).
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com