La CNIL sanctionne Google pour sa politique de confidentialité

En janvier 2012, Google annonçait une refonte de sa politique de confidentialité : une politique unique serait applicable à l'ensemble des services de Google (moteur de recherche, Gmail, YouTube, etc.) dès mars 2012.

Les termes du nouveau texte remettant en cause la protection des données personnelles des utilisateurs de ces services, La CNIL (comme ses homologues européens) avait décidé d'ouvrir une procédure à l'encontre de la société américiane. Le but initial était d'aboutir à une solution amiable.

Mais face à l'échec des négociations, la CNIL a sanctionné Google le 3 janvier 2014 pour les nombreux manquements relevés (manquement à l'obligation d'information, en matière de durée de conservation des données, de combinaison des données recueillies par les différents services, etc.). Google devra donc s'acquitter d'une amende de 150.000 € et publier la décision sur son site google.fr pendant 48h. Le montant de l'amende peut paraître dérisoire comparé au chiffre d'affaire d'une société telle que Google, mais il s'agit là du montant maximum des sanctions que peut prononcer la CNIL (article 47 de la loi "Informatique et Libertés").

Au-delà de ces sanctions, la décision de la CNIL a le mérite d'apporter des précisions intéressantes sur deux points : l'étendue de la compétence de la CNIL et la notion de données personnelles.

En premier lieu, Google contestait la compétence territoriale et matérielle de la CNIL. Cette dernière rejette ces arguments en se fondant sur les activités réelles de Google France : l'activité de publicité payante est indissociable du traitement de données personnelles car ce traitement est la contrepartie de l'utilisation gratuite des services qui les collectent. Google France, par son activité de {publicité}, est donc bien un établissement traitant des données personnelles.

Quant à la compétence matérielle, Google contestait également le fait qu'un {cookie} puisse être considéré comme un traitement de données personnelles,  et qu'il serait un simple "fichier texte". Mais, pour la CNIL, il faut s'en rapporter à la Directive européenne de 1995 qui ne distingue pas selon la technique utilisée. Et, ici, la spécificité d'un cookie et l'utilisation qui en est faite par Google en font bien un moyen de traitement des données personnelles. En effet, les cookies constituent le principal moyen pour Google de recueillir des informations sur l'activité des internautes. Il n'est donc pas surprenant de les voir qualifiés de moyen de traitement.

Enfin, Google contestait le fait que les données recueillies puissent être considérées comme personnelles car elles ne permettraient pas, selon la société, d'identifier les utilisateurs.

Si la CNIL reconnaît que les données collectées ne sont pas toujours nominatives, elle les considère néanmoins comme des données personnelles. En effet elle relève que le seul objectif de Google est l'accumulation et la combinaison des données collectées pour pptimiser la valorisation des profils des utilisateurs sur le plan publicitaire. Cela lui permet donc de cerner plus précisemment le comportement des utilisateurs grâce aux éléments collectés et propres à chaque internaute. "Ces données doivent, en tant que telles, être considérées comme identifiantes et non comme anonymes".

Il faut donc en déduire que les traces de notre activité sur Internet font partie de notre personnalité et de notre {vie privée} car elles sont susceptibles de nous identifier. A ce titre, notre activité sur la toile constitue donc un ensemble de données personnelles protégeables par la loi "Informatique et Libertés".