Lancement par la CNIL d’une procédure formelle de sanction contre Google

De février à octobre 2012, le G29 –le groupe des autorités européennes de protection des données personnelles a procédé à un examen de la conformité des règles de confidentialité de Google au regard de la législation européenne en matière de protection des données.

En effet, à compter du 1er mars 2012, les règles de confidentialité des données du moteur de recherches ont été modifiées. L’examen de ces nouvelles pratiques révélant des insuffisances au regard de la législation européenne, Google a été mis en demeure de se mettre en conformité dans un délai de 4 mois.

D’autres procédures répressives à l’encontre de Google ont ensuite été lancées par d’autres CNIL européennes (les CNIL allemande, espagnole, italienne, néerlandaise et anglaise).

Le 10 juin 2013, la CNIL française a mis Google en demeure de remédier à ses manquements au regard de la loi « Informatique et libertés » et ce, dans un délai de trois mois.

L’examen par la CNIL française des pratiques du moteur de recherches a en effet mis en exergue les manquements suivants:

– violation de l’obligation de définir « des finalités déterminées et explicites » pour la collecte des données à caractère personnel (article 6-2° de la loi « Informatique et libertés ») ;

– violation de l’obligation d’informer les utilisateurs (article 32-I) ;

– violation de l’obligation de définir une durée de conservation des données (article 6-5°) ;

– violation de l’obligation de disposer d’une base légale pour les traitements relatifs à la combinaison des données (article 7) ;

– violation de l’obligation de procéder à une collecte et à un traitement loyal des données (article 6-1°) ;

– violation de l’obligation d’obtenir l’accord de la personne avant d’inscrire des informations dans son équipement terminal de communications électroniques ou d’accéder à celles-ci par voie de transmission électronique (article 35-II).

Il a ainsi été demandé, entre autres, à Google de mettre l’utilisateur en mesure de connaître l’utilisation de ses données et de la maîtriser :

– en définissant notamment « des finalités déterminées et explicites afin de permettre aux utilisateurs d’appréhender concrètement les traitements portant sur leurs données à caractère personnel » ;

– « définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées » ;

-« ne pas procéder, sans base légale, à la combinaison des données des utilisateurs » ;

-« informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux ».

Le 19 septembre 2013, soit le dernier jour du délai, la société Google Inc a annoncé son refus de remédier aux manquements relevés par la CNIL. C’est pourquoi cette dernière a lancé le 27 septembre 2013 une procédure formelle de sanction à son encontre.

Les différentes procédures lancées à l’encontre de Google par les CNIL européennes peuvent toutes aboutir à des sanctions financières.

En mars 2011, la CNIL française avait déjà condamné Google a une amende de 100 000 euros pour la collecte de données effectuées par Google Cars.

La CNIL française ne peut infliger au maximum qu’une amende de 150 000 euros.