L'usage commercial des données personnelles
Voilà déjà plusieurs mois que les relations entre Google et l'Union européenne sont particulièrement tendues. En janvier 2012, l'entreprise annonçait la mise en place de nouvelles règles de confidentialité au profit de ses utilisateurs. Précisons d'emblée que ces derniers ne sont pas seulement les personnes qui font usage du moteur de recherches bien connu, mais aussi celles qui ouvrent un compte pour bénéficier d'une adresse courriel et de différents services, incluant un réseau social. Elles sont donc conduites à divulguer des données personnelles. L'idée globale de Google est de fusionner toutes ces données personnelles, et de les combiner pour obtenir des profils permettant, par exemple, d'envoyer des publicités ciblées plus efficaces. La vie privée des personnes, les sites qu'elles fréquentent, leurs goûts, permettent ainsi d'accroître les ressources publicitaires de l'entreprise.
P. Geluck. Le Chat. |
Google, au-dessus du droit européen ?
Inutile de dire que les "autorités locales", et plus précisément la CNIL, ont été agacées par ce comportement un tant soit peu condescendant. Les conclusions récemment publiées indiquent que cette irritation n'a pas disparu. L'enquête diligentée par la CNIL s'est heurtée à une évidente mauvaise volonté. La Commission affirme que Google "n'a pas fourni de réponse satisfaisante sur des points essentiels comme la description de tous les traitements de données personnelles qu'il opère ou la liste précise des plus de soixante politiques de confidentialité qui ont été fusionnées dans les nouvelles règles". En clair, l'entreprise a pratiqué la technique de l'enfumage pour entraver l'enquête de la CNIL.
Aujourd'hui, la CNIL tire les conséquences de cette situation. Au nom du G 29, elle donne à Google trois mois pour fournir des éclaircissements supplémentaires sur la protection des données personnelles, et plus particulièrement sur la manière dont elle compte obtenir le consentement des personnes sur la collecte, la conservation et la combinaison éventuelle des données qui les concernent.
Une sanction ou des sanctions ?
La CNIL fait ce qu'elle peut, et elle parle au nom du G 29. Ce groupe n'est pas dépourvu d'existence juridique puisqu'il est issu de l'article 29 de la directive du 24 octobre 1995 (d'où son nom). En revanche, son pouvoir de décision est inexistant. Tout au plus peut-il donne quelques recommandations, dépourvues d'autorité juridique.
Il est vrai qu'en l'espèce, cette absence d'autorité juridique est, en quelque sorte, compensée par l'unanimité des agences européennes chargées de la protection des données. Si le G. 29, ou la CNIL agissant au nom du G 29 ne peut prononcer de sanction à l'égard de Google, chaque agence peut prononcer la sanction adéquate au regard de son droit interne. Google ne risque donc pas une sanction, mais vingt sept. Le montant des amendes peut être très varié. On sait que la CNIL a déjà condamné Google à 100 000 € pour les atteintes à la vie privée suscitées par son service "Street View". En revanche, les Pays Bas, à propos de ce même service, ont obtenu une modification des pratiques de Google, sous la menace d'une amende s'élevant à un million d'euros.
Cette situation pourrait cependant prochainement évoluer avec l'adoption de la nouvelle directive européenne sur la protection des données personnelles qui devrait remplacer celle de 1995. Pour le moment, on sait qu'est envisagée une réglementation permettant de prononcer une sanction européenne, l'amende prévue s'élevant à 2 % du chiffre d'affaires de l'entreprise. Si Google continue à opposer l'inertie aux demandes de la CNIL, elle risque, à terme, de faire l'objet de poursuites sur le fondement du nouveau texte, dont l'adoption devrait intervenir fin 2013. Décidément, Google est une sorte de bienfaiteur pour la construction du droit européen de la protection des données.