virtualegis

Par pascal.alix le 13/01/14
Dernier commentaire ajouté il y a 6 années 9 mois

Le 23 décembre 2013, la garde des Sceaux a présenté en Conseil des ministres, un projet de loi relatif à la géolocalisation afin de fixer un cadre législatif à l'utilisation des méthodes de géolocalisation dans le cadre des enquêtes policières, jusque là autorisées par le procureur de la République.

La loi intègre la jurisprudence de la CEDH et de la Cour de cassation

Le 22 octobre 2013, la chambre criminelle de la Cour de cassation a rendu deux arrêts par lesquels elle annulait des pièces de procédure collectées grâce à la géolocalisation dans le cadre d'une enquête préliminaire en considérant que cette procédure était contraire à la Convention européenne des droits de l'Homme.

Ce faisant elle a constaté que la géolocalisation n'était pas encadrée juridiquement et a affirmé que le recours à la géolocalisation en temps réel lors d'une procédure judiciaire constituait une ingérence dans la vie privée qui devait donc être exécutée sous le contrôle d'un juge. Elle a également retenu que les parquetiers n'étaient pas des juges indépendants au sens de la jurisprudence européenne.

Le 29 octobre 2013, prenant acte de la position de la Cour de cassation, le ministère de la justice a envoyé une circulaire aux différents parquets, leur demandant l'arrêt immédiat des géolocalisations, et ce, jusqu'à l'adoption du projet de loi.

Cette situation a provoqué la colère des syndicats de police pour qui la géolocalisation constitue un outil efficace notamment dans les affaires de stupéfiants ou d'enlèvement.

Le contenu du projet de loi

Le projet de loi tente de concilier le droit au respect de la vie privée de l'article 8 de la Convention européenne des droits de l'Homme et la recherche d'efficacité dans les méthodes d'investigation.

Si le projet de loi est adopté, la géolocalisation en temps réel ne sera désormais possible que si elle s'avère nécessaire à la conduite d'investigations relatives à un crime ou à un délit puni d'au moins trois ans d'emprisonnement.

Le régime sera différent selon que le recours à la géolocalisation sera sollicité au stade de l'enquête préliminaire ou au stade de l'instruction.

Au cours de l'enquête, il devra être autorisé par une décision écrite du procureur de la République, pour une durée initiale de quinze jours, qui pourra être prolongée, par le juge des libertés et de la détention, pour une durée d'un mois renouvelable.

Au cours de l'instruction, il devra être autorisé par une décision écrite du juge d'instruction, pour une durée de quatre mois renouvelable.

Dans les deux cas, seul le juge des libertés et de la détention ou le juge d'instruction pourront autoriser par exemple l'introduction dans un domicile pour la pose d'un dispositif de géolocalisation, et à la condition toutefois que l'infraction soit passible d'une peine d'au moins cinq ans d'emprisonnement.

En cas d'urgence « résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens » , l'autorisation du magistrat pourra être donnée par tous moyens, même verbalement à la condition d'être confirmée par écrit dans les quarante-huit heures.

La recherche d'un équilibre délicat entre respect des libertés individuelles et de l'ordre public

Le projet de loi sera examiné le 20 janvier 2014 par le Sénat dans le cadre de la procédure accélérée de l'article 45 de la Constitution permettant au Gouvernement d'accélérer la procédure législative en raccourcissant le mouvement de va et vient entre les deux assemblées.

Cette volonté de protéger les libertés individuelles doit mise en perspective avec l'adoption de l'article 13 de la loi de programmation militaire prévoyant notamment l'accès en temps réel, aux données de connexion par des agents des ministères de l'intérieur, de la défense et du budget.

Sources

http://www.senat.fr/leg/pjl13-257.html

Cass. crim., 22 oct. 2013, nos 13-81.945 et 13-81.949

http://paris-ile-de-france.france3.fr/2013/11/18/les-policiers-s-inquiet...

L'article 230-35 du projet de loi prévoit qu'en cas d'urgence résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens, l'autorisation de procéder à une mesure de géolocalisation en temps réel peut être donnée par tout moyen. Une décision écrite de géolocalisation doit ensuite intervenir dans un délai de quarante-huit heures.

Par pascal.alix le 13/01/14
Dernier commentaire ajouté il y a 6 années 9 mois

Le 3 janvier 2014, au terme d'une procédure de près de deux années, la CNIL a condamné la société GOOGLE au paiement d'une amende de 150.000 euros pour non -respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et a ordonné la publication de cette condamnation sur les sites Internet de la CNIL et de Google.

[Rappel] Le 24 janvier 2012, la société Google annonçait son projet de refondre l'ensemble des règles de confidentialité de ses services au sein d'un document unique applicable à l'ensemble des produits et sites Internet proposés par Google .

Le 2 février 2012, le G29 demandait la suspension du projet afin d'analyser la conformité de la politique de confidentialité envisagée à la règlementation européenne en matière de données personnelles. La CNIL, désignée par les CNIL européennes adressa les 16 mars et 22 mai 2012, deux questionnaires à la société américaine afin d'analyser cette politique de confidentialité mais n'obtint que des réponses incomplètes ou approximatives.

Le 16 octobre 2012, le G29 adressa plusieurs recommandations à la société. Le 23 mars 2013, Google s'engageait à mettre en place des mesures destinées à améliorer la protection des données personnelles des utilisateurs.

Le 13 juin 2013, la société Google persistant dans sa position ambigüe, la Présidente de la CNIL lui adressa une mise en demeure de se mettre en conformité avec les dispositions de la loi Informatique et Liberté dans un délai de 3 mois, à peine de voir engager une procédure répressive sur le fondement de l'article 45, I, 1° de a loi Informatique et Libertés. Dans sa réponse à la CNIL, la société Google contesta l'ensemble des manquements qui lui étaient reprochés ainsi que l'applicabilité de la loi française aux traitements en cause et la compétence de la CNIL pour engager une procédure répressive.

Le 3 janvier 2014, « eu égard à la persistance des manquements précités » , la formation restreinte de la CNIL est entrée en voie de condamnation en relevant un certain nombre de manquements à la loi Informatique et Liberté qui peuvent s'analyser d'une façon générale en un défaut d'information par l'emploi de termes imprécis et ambigus quant à la nature des données collectés, leur finalité et aux droits des utilisateurs .

Le montant de cette condamnation pécuniaire peut prêter à sourire au vu du chiffre d'affaires de Google qui dépassait les 50 milliards de dollars en 2012 . Mais, elle intervient quelques mois à peine après une condamnation espagnole à une amende de 900.000 d'euros et dans un contexte de mobilisation de l'ensemble des autorités de proection européennes contre la nouvelle politique de confidentialité de Google.

I. La politique de confidentialité litigieuse

Jusqu'au changement de politique de données personnelles, chaque site Internet proposé et chaque produit proposé obéissait à ses propres règles de confidentialité.

Le principe de la refonte de ces politiques applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, en un document unique n'est pas critiqué en tant que tel par la CNIL ; une simplification étant légitime. Mais, les termes des conditions simplifiées ne permettent pas à l'internaute de comprendre et donc de consentir de manière éclairée à la collecte et au traitement de ses données personnelles.

Le non respect de l'obligation d'informer les utilisateurs sur les conditions et la finalité des traitements des données personnelles

L'article 32 I de la loi Informatique et Liberté impose au responsable de traitement d'informer l'utilisateur de son identité, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles d'un défaut de réponse, des destinataires des données, des droits d'accès et de rectification et de tout transfert de données à caractère personnel en dehors de l'Union européenne.

Les règles de confidentialité litigieuses sont rédigées dans des termes imprécis de sorte que l'utilisateur d'un service Google est incapable de déterminer le responsable de traitement, les données personnelles utilisées pour chaque service et les finalités exactes pour lesquelles ces données sont traitées.

La conformité à la règlementation française exige de s'assurer que les utilisateurs soient en mesure de comprendre la manière dont leurs données seront traitées, de manière effective et complète au regard des circonstances de la collecte.

Concrètement, Google devrait informer « en langage simple, direct et sans ambigüité » l'identité du responsable de traitement et les finalités du traitement pour un traitement « loyal » des informations.

Le non-respect de l'obligation de recueillir le consentement des utilisateurs avant de déposer des cookies

L'article 32 II de la loi Informatique et Liberté prévoit que l'utilisateur doit être informé « de manière claire et complète » des moyens mis en oeuvre par le responsable de traitement pour accéder aux données et le moyen de s'y opposer.

La CNIL a précisé que le consentement doit s'apprécier aux termes de l'article 2.h de la Directive 95/46/CE du 24 octobre 1995 de sorte que le consentement consiste en « toute manifestation de volonté libre, spécifique et informée ».

Ainsi, il n'est pas possible de déposer des cookies sans le consentement de l'utilisateur. Or selon la CNIL, « il est établi qu'un tel dépôt de cookies est réalisé dès la connexion au service en ce qui concerne les utilisateurs des services de la société qui ne se sont pas préalablement authentifiés au travers d'un compte Google », de sorte que la société ne communique aucune information permettant à l'utilisateur d'accepter ou de refuser ce dépôt et la lecture des informations stockées.

L'absence de définition d'une durée de conservation des données

L'article 6.5 de la Loi Informatique et Libertés dispose que les données « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Malgré les multiples recommandations adressées à Google et bien que la société ait défini trois durées de conservation (effacement du dernier octet des adresses IP dans les journaux des serveurs de Google : 9 mois ; la validité des cookies déposés dans les navigateurs des utilisateurs : 2 ans ; l'anonymisation du numéro de cookies dans les journaux des serveurs de Google : 18 mois), elle n'a fixé aucune durée de conservations pour les autres données qu'elle collecte et traite et demeure évasive sur ce point.

La combinaison illimitée des données des utilisateurs

Les règles de confidentialités litigieuses stipulent que « Les informations personnelles que vous fournissez pour l'un de nos services sont susceptibles d'être combinées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. Le recoupement de données en provenance de cookies DoubleClick avec des données permettant de vous identifier n'est possible qu'avec votre accord explicite ».

Google s'autorise ainsi à combiner de façon illimitée les données des utilisateurs collectées à travers l'ensemble de ses services et ce quel que soit le degré d'activité de l'utilisateur (qu'il soit authentifié par un compte Google, qu'il utilise les services sans avoir recours à un compte ou qu'il soit un passif), ce sans l'informer de la nature des combinaisons effectuées afin qu'il puisse comprendre la portée de son accord.

La CNIL en conclut donc que Google viole les dispositions de l'article 7. 4° et 5° de la Loi Informatique et Libertés.

II. Une sanction modique mais symbolique

La CNIL a condamné Google au paiement d'une amende d'un montant de 150.000 euros, montant maximum pour cette autorité indépendante. Ce montant peut être porté à 300.000 euros en cas de récidive.

Ce n'est pas tant sur le montant - bien dérisoire pour Google, en ce qu'il ne représente que... 2 minutes d'activité - de cette amende qu'il convient de porter son attention que sur le symbole que représente une telle sanction nationale au sein de l'Union européenne.

La règlementation européenne en matière de données personnelles est contenue dans la Directive 95/46/CE du 24 octobre 1995, transposée dans le droit national de chacun des Etats membre. Si aucune sanction européenne globale ne peut être infligée, les autorités de protection de chacun des Etats membres peuvent, à l'instar de la CNIL, engager une procédure contre Google et sanctionner cette société.

Emboîtant le pas à la CNIL, cinq autres autorités européennes (britannique, espagnole, italienne, néerlandaise et du land de Hambourg) ont également engagé des procédures répressives. L'Espagne a condamné la société à une amende de 900.000 euros au mois de septembre 2013. D'autres sanctions vont probablement suivre.

L'Union européenne compte près de 510.000.000 d'habitants et représente un marché important dont Google ne peut se passer. Quelques 27 condamnations - quel que soit leur montant - ne pourraient-elles pas constituer un signe suffisamment fort de la part de l'Union européenne pour contraindre Google à modifier ses règles en matière de confidentialité et les adapter au contexte européen ? L'avenir nous le dira. Le bras de fer entre Google et les institutions et autorités européennes de protection ne fait que commencer.

Avec la participation de Gwendoline Perfetti, avocate au barreau de Paris