Google est averti. Le moteur de recherche a trois mois pour se mettre en conformité avec la législation française sur la protection des données personnelles. La CNIL a mis en demeure l'entreprise américaine, évoquant la perspective d'une sanction financière. Des initiatives similaires sont en cours dans cinq autres pays européens.

La CNIL hausse le ton contre Google. La commission nationale de l'informatique et des libertés a annoncé jeudi matin la mise en demeure (.pdf) de la firme de Mountain View afin de l'obliger à respecter la législation française en matière de protection des données personnelles. Le moteur de recherche dispose d'un délai de trois mois pour se mettre en conformité, sous peine de se voir infliger une sanction.

"L'analyse opérée par la CNIL a confirmé les manquements de Google au regard de la loi « informatique et libertés », qui conduisent, concrètement, à ce que l'utilisateur ne soit pas en mesure de connaître l'utilisation qui peut être faite de ses données et de la maîtriser", fait observer l'autorité, qui n'est pas seule dans ce bras de fer. Cinq autres organes de régulation européens ont aussi "engagé des procédures répressives".

La manœuvre en cours dans six pays européens (Allemagne, Espagne, France, Italie, Pays-Bas, Royaume-Uni) est la conséquence directe des multiples mises en garde adressées à Google depuis plusieurs mois déjà, qui n'a jusqu'à présent pas fourni une réponse satisfaisante aux attentes des autorités de contrôle. Google doit donc changer rapidement de politique, sous peine de devoir payer une amende.

L'horizon s'assombrit pour la firme de Mountain View. En octobre 2012, la CNIL a publié les conclusions de son enquête, menée au nom des autres autorités européennes, sur les nouvelles règles de confidentialité de Google. L'investigation conduite par la CNIL a relevé un certain nombre de problèmes nécessitant une correction immédiate de Google.

Quatre mois après la publication du rapport, la CNIL a indiqué être disposée "à agir et à poursuivre ses investigations", en coordination avec les membres du G29, l'instance qui regroupe toutes les autorités de protection des données personnelles au sein de l'Union européenne. Quelques jours plus tard, la CNIL a confirmé l'engagement d'une action répressive et l'installation d'un groupe de travail dédié.

Début avril, les six autorités ont annoncé le lancement coordonné d'une procédure répressive contre Google, qui est accusé de ne pas respecter le droit communautaire sur la protection des données personnelles. En Allemagne, la procédure est engagée. Elle est imminente en Espagne. En Italie, des clarifications de Google sont attendues, tandis que des examens complémentaires sont en cours au Royaume-Uni.

Les nouvelles règles unifiées de Google, qui ont été imposées unilatéralement, sont au cœur de l'action des autorités européennes. Elles ont été rédigées afin d'unifier la multitude de contrats différents en vigueur sur les divers services et produits de l'entreprise américaine.

Les principales demandes de la CNIL sont les suivantes :

  • Définir des finalités déterminées et explicites afin de permettre aux utilisateurs d’appréhender concrètement les traitements portant sur leurs données à caractère personnel  ;
  • Procéder à l’information des utilisateurs en application des dispositions de l’article 32 de la loi « informatique et libertés », en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre  ;
  • Définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées  ;
  • Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs  ;
  • Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présents sur la page visitée  ;
  • Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment.

Partager sur les réseaux sociaux

Articles liés