L’essentiel : La CNIL a infligé à Google France une amende de 150 000 euros pour non-respect de la loi « informatique et libertés ». Cette sanction, affichée sur la page d’accueil de Google.fr pendant huit jours, souligne la responsabilité de Google France dans le traitement des données personnelles des utilisateurs français. La fusion de ses politiques de confidentialité en mars 2012 a été jugée non conforme par le groupe des CNIL européennes, entraînant des procédures répressives. Les manquements incluent un manque d’information sur les finalités de collecte des données et l’absence de consentement préalable pour le dépôt de cookies.

Google France sanctionnée

Une sanction pécuniaire de 150 000 a été prononcée par la CNIL à l’encontre de la société Google pour non respect de la loi « informatique et libertés ». Le communiqué de la sanction a été en page d’accueil de Google.fr pendant huit jours.

La société Google Inc. a soulevé en vain, l’inapplicabilité de la loi du 6 janvier 1978 à ses services établis aux Etats Unis. La société Google France a été considérée comme responsable d’un traitement de données personnelles établi en France dès lors que, parmi les activités de la société Google France, figure l’exploitation de services de publicité en ligne. Or, l’exploitation de ces services est étroitement liée à l’exploitation des données personnelles des internautes français. En particulier, la collecte et le traitement des cookies sur les terminaux des internautes français est bien constitutive d’un traitement de données personnelles établi en France indépendamment de la localisation technique des serveurs.

Politique de confidentialité unifiée mais non conforme

Le 1er mars 2012, Google a décidé de fusionner en une seule politique les 60 différentes règles de confidentialité applicables à ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision. Le “ G29 “, groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n’était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n’ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.

Manquements constatés

Il est principalement reproché à Google :

i) De ne pas suffisamment informer ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n’étant pas déterminées comme l’exige la loi, ni l’ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d’exercer leurs droits, notamment d’accès, d’opposition ou d’effacement.

ii) De ne pas respecter les obligations qui lui incombent d’obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.

iii) De ne pas fixer de durées de conservation pour l’ensemble des données qu’elle traite.

iv) De procéder, sans autorisation, à la combinaison de l’intégralité des données qu’elle collecte sur les utilisateurs à travers l’ensemble de ses services (interconnexion et croisement de bases de données personnelles).

Statut de l’adresse IP

La CNIL a rappelé que les identifiants uniques comme l’adresse IP, bien qu’ils n’aient pas de lien direct avec l’identité proprement dite de la personne, permettent à Google d’attribuer à celle-ci l’ensemble des données issues de son utilisation de ses services, qu’elle ait été ou non authentifiée, dans des proportions telles qu’il est impossible de ne pas considérer que celles-ci ne sont pas identifiantes, à tout le moins indirectement.

La qualification de données à caractère personnel peut ainsi s’appliquer non seulement à l’adresse IP et aux données collectées par le vecteur des cookies, mais également à tous les types d’identifiants uniques, tels que celui du terminal ou d’un composant du terminal de l’utilisateur, le résultat du calcul d’empreinte dans le cas du fingerprinting , ou encore l’identifiant généré par un logiciel ou un système d’exploitation.

Les données relatives aux visiteurs de sites tiers sur lesquels la régie publicitaire de Google est présente (et que celle-ci collectera) sont l’adresse IP de l’utilisateur, le nom du site ainsi que l’identifiant unique présent dans le cookie DoubleClick, qui sert à améliorer la pertinence de la publicité affichée. Disposant de cet identifiant cookie et de son adresse IP, la société pourra reconnaître l’utilisateur à l’occasion de visites ultérieures de sites également partenaires de DoubleClick, afin de lui adresser des publicités personnalisées, notamment en fonction de l’analyse de son comportement de navigation.

En d’autres termes, l’accumulation de données qu’elle détient sur une seule et même personne lui permet de la singulariser à partir d’un ou de plusieurs éléments qui lui sont propres. Ces données doivent, en tant que telles, être considérées comme identifiantes et non comme anonymes.

Faible information des internautes

Comme l’a déjà relevé l’avis n°10/2004 du 25 novembre 2004 du G29, l’information de l’internaute sur la collecte de ses données doit se faire par strate et dissocier deux niveaux d’information : d’une part, les informations de premier niveau, qui sont les plus importantes à connaître pour les personnes ; d’autre part, des informations qui ne présentent vraisemblablement d’intérêt qu’en seconde intention. Ces informations doivent être formulées en un langage simple, direct et sans ambiguïté.

Parmi les informations essentielles de premier niveau figurent, outre l’identité du responsable de traitement, les finalités du traitement et toute information supplémentaire nécessaire afin de garantir un traitement loyal de l’information vis-à-vis des personnes concernées. Faute de définir des finalités déterminées et explicites pour l’ensemble des traitements qu’elle met en œuvre au sens de l’article 6-1°), Google ne respecte pas l’obligation qui lui incombe d’informer ses utilisateurs des finalités des traitements opérés sur leurs données.

Consentement de l’internaute

L’internaute doit également recevoir, préalablement au dépôt et à la lecture de cookies ou de toute autre technologie, une information claire et complète sur les finalités de ceux-ci ainsi que sur les moyens dont il dispose pour s’y opposer, et que son consentement préalable est requis pour que le cookie puisse être déposé.

La CNIL a constaté que le bandeau dont la société Google affirme qu’il est une pratique du secteur apparaît sur deux de ses services, certes majeurs (Google Search et Youtube), mais qu’il fait défaut sur des services tout aussi importants tels que Google Maps, Google+, Google Drive ou Google Analytics. En outre, l’information fournie sur ce bandeau ne permet pas aux utilisateurs des services de la société d’être informés de manière suffisamment précise des finalités poursuivies par la société quant à l’utilisation des cookies. En effet, celle-ci ne fait mention que du fait que des cookies sont déposés en vue d’assurer le bon fonctionnement des services . L’information ainsi délivrée, par sa généralité, ne peut en tant que telle satisfaire à l’objectif d’information claire et complète des utilisateurs fixé par la loi.

Sanction précédente de Google

A noter qu’il s’agit là de la sanction pécuniaire la plus élevée prononcée jusqu’à présent par la CNIL contre Google. Une précédente sanction d’un montant de 100 000 € avait été prononcée (délibération n°2011-035 du 17 mars 2011) au titre de la collecte déloyale de données nominatives par les voitures Street View. La CNIL avait alors enjoint à la société de cesser toute collecte de données à l’insu des personnes concernées dans le cadre du traitement Google Street View, s’agissant en particulier des identifiants de réseaux Wi-Fi (SSID), des adresses MAC de routeurs Wi-Fi et des données de connexion issues de bornes Wi-Fi (adresses, identifiants, mots de passe …).

Mots clés : Sanctions CNIL

Thème : Sanctions CNIL

A propos de cette jurisprudence : juridiction :  CNIL | Date : 3 janvier 2014 | Pays : France

Q/R juridiques soulevées :

Quelle sanction a été prononcée contre Google France par la CNIL ?

La CNIL a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de Google France pour non-respect de la loi « informatique et libertés ». Cette décision a été rendue publique et affichée sur la page d’accueil de Google.fr pendant une durée de huit jours.

Cette sanction fait suite à des manquements constatés dans la gestion des données personnelles des utilisateurs français. La CNIL a souligné que Google France est responsable du traitement des données personnelles, même si certains services sont basés aux États-Unis.

En effet, l’exploitation des services de publicité en ligne de Google est directement liée à la collecte et au traitement des données personnelles des internautes français, ce qui a conduit à cette décision.

Quels étaient les principaux manquements reprochés à Google ?

Les manquements reprochés à Google incluent plusieurs points critiques. Premièrement, Google ne fournissait pas suffisamment d’informations à ses utilisateurs concernant les conditions et finalités du traitement de leurs données personnelles.

Cela a empêché les utilisateurs de comprendre les raisons de la collecte de leurs données et l’ampleur de celle-ci, ce qui les a mis dans l’incapacité d’exercer leurs droits, tels que l’accès, l’opposition ou l’effacement de leurs données.

Deuxièmement, Google n’a pas respecté l’obligation d’obtenir le consentement des utilisateurs avant de déposer des cookies sur leurs terminaux.

De plus, la société n’a pas défini de durées de conservation pour les données traitées, et a procédé à la combinaison de données collectées à travers différents services sans autorisation, ce qui constitue une violation des règles de protection des données.

Quelles étaient les conclusions du groupe des CNIL européennes concernant la politique de confidentialité de Google ?

Le groupe des CNIL européennes, connu sous le nom de « G29 », a analysé la politique de confidentialité unifiée mise en place par Google en mars 2012, qui fusionnait 60 règles différentes.

Cette analyse a révélé que la nouvelle politique n’était pas conforme au cadre juridique européen. En conséquence, plusieurs recommandations ont été émises, mais Google n’a pas donné suite à ces recommandations, ce qui a conduit à des procédures répressives engagées par six autorités européennes.

La fusion des politiques de confidentialité a concerné presque tous les internautes français, ce qui a amplifié l’impact de cette non-conformité.

Les manquements constatés ont donc eu des répercussions significatives sur la protection des données personnelles des utilisateurs.

Comment la CNIL a-t-elle qualifié l’adresse IP dans le cadre de cette sanction ?

La CNIL a précisé que des identifiants uniques, tels que l’adresse IP, bien qu’ils ne soient pas directement liés à l’identité d’une personne, permettent à Google d’attribuer à un utilisateur l’ensemble des données issues de son utilisation des services.

Cela signifie que même sans authentification, il est possible d’identifier un utilisateur à partir de ses données de navigation.

Ainsi, l’adresse IP et d’autres identifiants uniques, comme ceux générés par des cookies ou des systèmes d’exploitation, sont considérés comme des données à caractère personnel.

Cette qualification est essentielle car elle souligne l’importance de la protection des données, même lorsque celles-ci ne semblent pas directement identifiantes.

Quelles obligations Google devait-elle respecter concernant le consentement des utilisateurs ?

Google avait l’obligation d’informer les internautes de manière claire et complète avant le dépôt de cookies ou l’utilisation de toute autre technologie de suivi.

Cela inclut la nécessité d’expliquer les finalités des cookies et les moyens dont disposent les utilisateurs pour s’y opposer.

La CNIL a constaté que le bandeau d’information sur les cookies, qui était présent sur certains services comme Google Search et YouTube, était absent sur d’autres services importants tels que Google Maps et Google Drive.

De plus, l’information fournie par Google était jugée trop générale, ne permettant pas aux utilisateurs de comprendre précisément les finalités de l’utilisation des cookies.

Cette insuffisance d’information constitue une violation des obligations légales en matière de consentement.

Quelle a été la sanction précédente infligée à Google par la CNIL ?

Avant la sanction de 150 000 euros, Google avait déjà été sanctionnée par la CNIL en mars 2011, avec une amende de 100 000 euros.

Cette précédente sanction était liée à la collecte déloyale de données nominatives par les voitures Street View.

La CNIL avait alors ordonné à Google de cesser toute collecte de données à l’insu des personnes concernées, en particulier des identifiants de réseaux Wi-Fi, des adresses MAC de routeurs Wi-Fi et d’autres données de connexion.

Cette histoire de manquements à la protection des données personnelles montre un schéma récurrent de non-conformité de la part de Google, ce qui a conduit à des sanctions de plus en plus sévères.