Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Protection des données à caractère personnel. Face à Google, l’Europe au bord du Rubicon ! Quousque abutere patientia nostra ?(Ciceron)

pdf mise en ligne :21 02 2013 ( NEA say… n° 131 )

DROITS FONDAMENTAUX > Protection des données personnelles

Règles de confidentialité et protection des données à caractère personnel : GOOGLE à nouveau dans le collimateur de l’Europe. La barque est désormais bien chargée après la réunion du G20 à Moscou et les orientations arrêtées en matière de fiscalité des multinationales (Cf. autre article dans le numéro 130 de Nea say). L’ancien différent qui oppose l’Europe à Google en matière de protection des données personnelles vient de rattraper Google comme cela était prévisible ? La CNIL, mandatée par les autres autorités régulatrices en Europe en matière de protection des données personnelles, va droit au but et annonce la couleur sans le moindre échappatoire:  « Vers une action coordonnée et répressive des autorités de protection des données » ! Tel est le titre du communiqué de la CNIL qui avec ses consoeurs européennes  haussent le ton contre Google dans le délicat dossier des règles de confidentialité. Après avoir laissé tout le temps nécessaire à Google pour se "mettre en conformité" avec leurs demandes, elles  constatent que rien n'a bougé.

Règles de confidentialité et protection des données à caractère personnel : GOOGLE à nouveau dans le collimateur de l’Europe. La barque est désormais bien chargée après la réunion du G20 à Moscou et les orientations arrêtées en matière de fiscalité des multinationales (Cf. autre article dans le numéro 130 de Nea say). L’ancien différent qui oppose l’Europe à Google en matière de protection des données personnelles vient de rattraper Google comme cela était prévisible ? La CNIL, mandatée par les autres autorités régulatrices en Europe en matière de protection des données personnelles, va droit au but et annonce la couleur sans le moindre échappatoire:  « Vers une action coordonnée et répressive des autorités de protection des données » ! Tel est le titre du communiqué de la CNIL qui avec ses consoeurs européennes  haussent le ton contre Google dans le délicat dossier des règles de confidentialité. Après avoir laissé tout le temps nécessaire à Google pour se "mettre en conformité" avec leurs demandes, elles  constatent que rien n'a bougé.

A l'expiration du délai de 4 mois accordé à Google pour se mettre en conformité et s'engager sur la mise en oeuvre de ces recommandations, aucune réponse n'a été apportée par la société", peut-on lire dans un communiqué de la CNIL."À la date du 18 février, les autorités européennes constatent que Google n'a pas apporté de réponse précise et opérationnelle à leurs recommandations. Dans ces conditions, elles sont déterminées à agir et à poursuivre leurs investigations. Elles proposent la mise en place d'un groupe de travail, piloté par la CNIL, pour coordonner leur action répressive, laquelle devrait intervenir avant l'été", poursuit la Commission informatique et libertés.

Un dispositif répressif va donc se mettre en place contre Google accusé d'être peu transparent dans ses nouvelles règles de confidentialité notamment en ce qui concerne le contrôle par les utilisateurs de la combinaison de données entre les nombreux services offerts par Google. Google persiste, fait le dos rond, multiplie les déclarations dilatoires, proteste de sa bonne foi, de son désir de bien faire mais finalement  ne respecte pas le droit européen. « Quousque tandem, Catilina, abutere patientia nostra ? » pour citer l’exorde de la première des quatre catilinaires prononcée par Marcus Tullius CICERO.

Rappel des faits  (cf.infra « pour en savoir plus » dossier Google de Nea say). En février 2012, la CNIL et le groupe Article 29 émettent de sérieuses réserves à l’égard de la nouvelle politique de confidentialité de Google entrées en vigueur un mois plus tard. Cette dernière vise à unifier 60 de ses règles et les consolider  (consolidation qui concerne également les conditions d’utilisation des services en ligne Google). Concrètement, lorsqu'un utilisateur s'inscrit à un service Google, ses informations personnelles peuvent être utilisées sur tous les autres services, à la discrétion de l'entreprise. Tout cela pour simplifier la vie des utilisateurs de Google et mieux les protéger…avance Google. Mais en fait c’est  mieux utiliser les données récupérées par l’ensemble des services

La CNIL estime que ces nouvelles règles "ne respectent pas les exigences de la Directive européenne sur la protection des données (95/46/CE) en termes d’information des personnes concernées".

 

"La fusion des règles de confidentialité des services de Google rend impossible la compréhension des données personnelles collectées, des finalités, des destinataires et des droits d’accès pertinents pour chaque service", souligne-t-elle. "Google devrait compléter sa politique de confidentialité avec une information spécifique pour chaque service et chaque finalité" ajoute-t-elle. Une demande qui s'est heurtée à un refus catégorique de Google qui estime, selon sa politique traditionnelle de communication,  avoir informé les internautes suffisamment ! Quant à la non-conformité avec le droit européen, elle est écartée, une fois de plus, d’un revers de main par Google. "Nous sommes confiants dans le fait que notre nouvelle politique de confidentialité, simple, claire et transparente, respecte toutes les lois et principes européens en matière de protection des données personnelles". Fin mars 2012, la CNIL, nullement découragée,  revient à la charge en adressant à Google un questionnaire de 69 questions « précises ». Elles  visent "à clarifier les implications de ces nouvelles règles pour les utilisateurs des services Google, qu’ils soient titulaires d’un compte Google, utilisateurs non authentifiés ou utilisateurs passifs des services de Google sur d’autres sites (publicité, mesure d’audience, etc.)" précise la CNIL qui avant tout veut savoir si effectivement " la combinaison de données entre services est conforme au droit européen.". La CNIL  signale au passage qu’elle juge les réponses  "incomplètes ou approximatives".  Un nouveau questionnaire a donc été renvoyé au siège de Google afin d’éclairer ce qui reste peu clair.

La nouvelle lettre précise : "Concernant la combinaison des données entre services, la Cnil réitère ses inquiétudes sur la finalité et l'ampleur de ces combinaisons ainsi que sur leur base légale". Bien plus , en octobre, les CNIL européennes somment Google de procéder à des changements sous 4 mois. "Nous attendons de Google qu'il prenne les mesures nécessaires pour améliorer l'information et clarifier la collecte des données, et plus généralement, pour garantir le respect des règles et des principes existants en matière de protection des données personnelles". Sommation en bonne et due forme restée sans réponse. D’où cette menace en forme d’ultimatum d’une action répressive forte mais non définie. Google y répondait par un simple accusé de réception, renouvelant ses protestations d’innocence.

Les deux adversaires sont face à face, irréconciliables, campant sur leurs positions et chacun attend la date du 26 février, date de la réunion du G29. Cette date ne sera certainement pas la fin du bras de fer. Il se poursuivra jusqu’à l’adoption des mesures législatives européennes et bien au-delà. Qu’est-ce qui sera décisif ? La capacité  de sanctions par les autorités nationales, aujourd’hui. Et demain, qui pourra sanctionner ? comment? et  jusqu’où ? C’est l’enjeu principal des négociations en cours pour le renouvellement de la Directive 95/46. A l’heure actuelle toutes les autorités nationales ne sont pas en mesure de sanctionner ce à quoi les nouvelles règles vont tenter de répondre en simplifiant le règlement des litiges, le mode d’administration des sanctions, en les rendant effectifs. Une sanction pécuniaire aussi élevée soit-elle, sera-t-elle suffisante pour dissuader et ramener dans le droit chemin les récalcitrants ? Tous les Etats membres devront avoir  la même politique et une même pratique, tous unanimement. La moindre brèche et le système s’effondre. Jusqu’où les pays européens sont-ils prêts à avoir une stratégie unitaire. Manifestement Google teste la capacité des CNIL européennes à s’entendre sur une réponse répressive concertée et effectivement pratiquée. Il est intéressant de noter que Google a demandé à être auditionné par le G29. Rappelons qu’à l’automne dernier lorsque la CNIL a adressé à Google sa mise en demeure, l’ensemble des CNIL a signé individuellement la lettre. L’unité semble pour l’instant tenir. Par ailleurs la Commission européenne a applaudit la réaction de la CNIL. Mais tout cela résistera-t-il dans la chaleur de l’action au cours de négociations , qui, inévitablement,  seront tendues. De nombreuses questions restent posées. En matière de répression chaque pays pourra-il  décider, et  dans quelle mesure ? L’amende est-elle la seule sanction possible, une arme émoussée face à un géant qui a fait en 2012 plus de 50 milliards de chiffres d’affaires et plus de 10 milliards de bénéfices. D’autres sanctions sont possibles : « la Cnil peut lui interdire de collecter et traiter des  données personnelles, c’est théoriquement possible en France dit sa directrice, Isabelle Falque-Pierrotin ». Cela reviendrait à interdire à Google de proposer des publicités ciblées et ce serait l’ensemble de son activité publicitaire, estimée en France à plus de 1,2 milliards d’euros, qui serait ainsi bloquée. Un tel comportement ferait-il des émules ? Poser la question c’est déjà y répondre ! Par ailleurs les utilisateurs ont aussi leur mot à dire, sont-ils prêts a accepter tout forme de sanctions et pour n’importe quel montant ? par ailleurs, la directrice de la CNIL ne veut pas la mort du pécheur, mais qu’il s’amende et elle veut plus de transparence et d’informations. Enfin une dernière question : la dimension européenne suffit-elle ? A l’évidence la réponse ne peut être que négative. Aux deux protagonistes on est tenté de dire que toute politique d’affrontement trouve en elle-même ses limites au bout d’un certain moment. Le bras de fer engagé ne dure qu’un temps.

 

Pour en savoir plus :

      -. Communiqué de la CNIL du 18 février 2013 http://www.cnil.fr/la-cnil/actualite/article/article/regles-de-confidentialite-de-google-vers-une-action-repressive-et-coordonnee-des-autorites-e/?tx_ttnews%5BbackPid%5D=2&cHash=54643df4096ad5effaec0ab8cd69ae2c

      - . Dossier  protection des données personnelles  de Nea say http://www.eu-logos.org/eu-logos_nea-say.php?idr=4&idnl=130&lang=fra&lst=0&arch=0&nea=130&idssth=204

      -. Dossier Google de Nea say http://www.eu-logos.org/eu-logos-nea-recherche.php?q=google&Submit=%3E

      -. Dossier de Nea say  Google versus CNIL http://www.eu-logos.org/eu-logos-nea-recherche.php?q=cnil+google&Submit=%3E