La formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 € à l’encontre de la société GOOGLE Inc.
RSS CNIL - , 8/01/2014
Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la société GOOGLE Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi « informatique et libertés ». Elle enjoint Google de procéder à la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr, sous huit jours à compter de la notification de la décision.
Le 1er mars 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision.
Le " G29 ", groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n'était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.
Dans ce contexte, le 3 janvier 2014, la formation restreinte de la CNIL a prononcé à l'encontre de la société GOOGLE Inc. une sanction pécuniaire de 150 000 euros, estimant que celle-ci ne respectait pas plusieurs dispositions de la loi " informatique et libertés ".
Dans sa décision, la formation restreinte considère que, les données relatives aux utilisateurs des services de Google en France et traitées par cette société, sont bien des données à caractère personnel. Elle retient également que, contrairement à ce que soutient la société Google Inc., la loi française s'applique aux traitements, par celle-ci, des données personnelles des internautes résidant en France.
Sur le fond, la formation restreinte ne conteste pas la légitimité de l'objectif de simplification poursuivi par la société en fusionnant ses politiques de confidentialité.
Elle considère cependant que les conditions de mise en œuvre de cette politique unique sont contraires aux exigences de la loi :
- La société n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement.
- La société ne respecte pas les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.
- Elle ne fixe pas de durées de conservation pour l'ensemble des données qu'elle traite.
- Elle s'autorise enfin, sans base légale, à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services.