.
08 janvier 2014
Le 1er mars 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision.
Le " G29 ", groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n'était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.
Dans ce contexte, le 3 janvier 2014, la formation restreinte de la CNIL a prononcé à l'encontre de la société GOOGLE Inc. une sanction pécuniaire de 150 000 euros, estimant que celle-ci ne respectait pas plusieurs dispositions de la loi " informatique et libertés ".
Dans sa décision, la formation restreinte considère que, les données relatives aux utilisateurs des services de Google en France et traitées par cette société, sont bien des données à caractère personnel. Elle retient également que, contrairement à ce que soutient la société Google Inc., la loi française s'applique aux traitements, par celle-ci, des données personnelles des internautes résidant en France.
Sur le fond, la formation restreinte ne conteste pas la légitimité de l'objectif de simplification poursuivi par la société en fusionnant ses politiques de confidentialité.
Elle considère cependant que les conditions de mise en œuvre de cette politique unique sont contraires aux exigences de la loi :
- La société n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement.
- La société ne respecte pas les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.
- Elle ne fixe pas de durées de conservation pour l'ensemble des données qu'elle traite.
- Elle s'autorise enfin, sans base légale, à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services.
Ces conclusions sont similaires à celles précédemment retenues par les autorités néerlandaise et espagnole de protection des données en novembre et décembre 2013, au regard de leur droit national respectif.
La sanction pécuniaire décidée constitue le montant le plus élevé prononcé jusqu'à présent par la formation restreinte. Elle se justifie par le nombre et la gravité des manquements constatés.
Par ailleurs, la formation restreinte a enjoint Google Inc. de procéder à la publication d'un communiqué relatif à cette décision sur le site https://www.google.fr, pendant 48 heures, sous huit jours à compter de la notification de la décision. Cette mesure de publicité s'explique par l'ampleur des données collectées ainsi que par la nécessité d'informer les personnes concernées, qui ne sont pas en mesure d'exercer leurs droits.
Aucun commentaire:
Enregistrer un commentaire