Pages

jeudi 18 octobre 2012

Google, bienfaiteur de l'Habeas Data européen

La CNIL a rendu publiques, le 16 octobre 2012, ses conclusions sur les pratiques de Google, et leur conformité, ou plutôt non-conformité au droit européen de la protection des données. Leur intérêt réside d'abord dans leur existence même, car la CNIL est intervenue, mandatée par le G 29, ce groupe qui réunit l'ensemble des institutions chargées de la protection des données dans l'Union européenne. Sur ce point, Google a au moins permis l'émergence d'une Europe de la protection des données, qui s'oppose à un droit américain gouverné par le principe de libre circulation des informations.

L'usage commercial des données personnelles

Voilà déjà plusieurs mois que les relations entre Google et l'Union européenne sont particulièrement tendues. En janvier 2012, l'entreprise annonçait la mise en place de nouvelles règles de confidentialité au profit de ses utilisateurs. Précisons d'emblée que ces derniers ne sont pas seulement les personnes qui font usage du moteur de recherches bien connu, mais aussi celles qui ouvrent un compte pour bénéficier d'une adresse courriel et de différents services, incluant un réseau social. Elles sont donc conduites à divulguer des données personnelles. L'idée globale de Google est de fusionner toutes ces données personnelles,  et de les combiner pour obtenir des profils permettant, par exemple, d'envoyer des publicités ciblées plus efficaces. La vie privée des personnes, les sites qu'elles fréquentent, leurs goûts, permettent ainsi d'accroître les ressources publicitaires de l'entreprise.

P. Geluck. Le Chat.


Google, au-dessus du droit européen ?

Aux yeux de Google, la protection des données relève de la politique d'entreprise, et se concrétise par un lien contractuel. Encore s'agit-il d'un contrat d'adhésion, auquel l'internaute souscrit par un simple clic, sans pouvoir négocier les termes du contrat. Le plus souvent d'ailleurs, il ne l'a pas lu. En l'espèce, les règles de confidentialité élaborées par Google se réduisent donc à un étalage de bons sentiments, une sympathique affirmation que l'entreprise se conforme à "plusieurs chartes d'auto-régulation", et envisage même, dans sa grande bonté, de "ccopérer" avec les "autorités locales".

Inutile de dire que les "autorités locales", et plus précisément la CNIL, ont été agacées par ce comportement un tant soit peu condescendant. Les conclusions récemment publiées indiquent que cette irritation n'a pas disparu. L'enquête diligentée par la CNIL s'est heurtée à une évidente mauvaise volonté. La Commission affirme que Google  "n'a pas fourni de réponse satisfaisante sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de soixante politiques de confidentialité qui ont été fusionnées dans les nouvelles règles". En clair, l'entreprise a pratiqué la technique de l'enfumage pour entraver l'enquête de la CNIL.

Aujourd'hui, la CNIL tire les conséquences de cette situation. Au nom du G 29, elle donne à Google trois mois pour fournir des éclaircissements supplémentaires sur la protection des données personnelles, et plus particulièrement sur la manière dont elle compte obtenir le consentement des personnes sur la collecte, la conservation et la combinaison éventuelle des données qui les concernent.

Une sanction ou des sanctions ? 

La CNIL fait ce qu'elle peut, et elle parle au nom du G 29. Ce groupe n'est pas dépourvu d'existence juridique puisqu'il est issu de l'article 29 de la directive du 24 octobre 1995 (d'où son nom). En revanche, son pouvoir de décision est inexistant. Tout au plus peut-il donne quelques recommandations, dépourvues d'autorité juridique.

Il est vrai qu'en l'espèce, cette absence d'autorité juridique est, en quelque sorte, compensée par l'unanimité des agences européennes chargées de la protection des données. Si le G. 29, ou la CNIL agissant au nom du G 29 ne peut prononcer de sanction à l'égard de Google, chaque agence peut prononcer la sanction adéquate au regard de son droit interne. Google ne risque donc pas une sanction, mais vingt sept. Le montant des amendes peut être très varié. On sait que la CNIL a déjà condamné Google à 100 000 € pour les atteintes à la vie privée suscitées par son service "Street View". En revanche, les Pays Bas, à propos de ce même service, ont obtenu une modification des pratiques de Google, sous la menace d'une amende s'élevant à un million d'euros.

Cette situation pourrait cependant prochainement évoluer avec l'adoption de la nouvelle directive européenne sur la protection des données personnelles qui devrait remplacer celle de 1995. Pour le moment, on sait qu'est envisagée une réglementation permettant de prononcer une sanction européenne, l'amende prévue s'élevant à 2 % du chiffre d'affaires de l'entreprise. Si Google continue à opposer l'inertie aux demandes de la CNIL, elle risque, à terme, de faire l'objet de poursuites sur le fondement du nouveau texte, dont l'adoption devrait intervenir fin 2013. Décidément, Google est une sorte de bienfaiteur pour la construction du droit européen de la protection des données.



Aucun commentaire:

Enregistrer un commentaire