Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros à l'encontre de la société Google Inc. (CNIL, délibération n° 2013-420, 3 janvier 2014
N° Lexbase : X4401AMX), estimant que les règles de confidentialité mises en oeuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi "informatique et libertés" (loi n° 78-17 du 6 janvier 1978
N° Lexbase : L8794AGS). La sanction pécuniaire décidée constitue le montant le plus élevé prononcé jusqu'à présent par la formation restreinte. Elle se justifie par le nombre et la gravité des manquements constatés. Elle enjoint également Google de procéder à la publication, pendant 48 heures, d'un communiqué relatif à cette décision sur la page d'accueil de Google.fr, sous huit jours à compter de la notification de la décision. Le 1er mars 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision. Le "G29", groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n'était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne. Dans sa décision, la formation restreinte considère que les données relatives aux utilisateurs des services de Google en France et traitées par cette société sont bien des données à caractère personnel. Elle retient également que, contrairement à ce que soutient la société Google Inc., la loi française s'applique aux traitements, par celle-ci, des données personnelles des internautes résidant en France. Sur le fond, la formation restreinte ne conteste pas la légitimité de l'objectif de simplification poursuivi par la société en fusionnant ses politiques de confidentialité. Elle considère, cependant, que les conditions de mise en oeuvre de cette politique unique sont contraires aux exigences de la loi :
- la société n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles ;
- la société ne respecte pas les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux ;
- elle ne fixe pas de durées de conservation pour l'ensemble des données qu'elle traite ;
- elle s'autorise enfin, sans base légale, à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services.
Ces conclusions sont similaires à celles précédemment retenues par les autorités néerlandaise et espagnole de protection des données en novembre et décembre 2013, au regard de leur droit national respectif.
© Reproduction interdite, sauf autorisation écrite préalable
