Par pascal.alix le 13/01/14

Le 3 janvier 2014, au terme d'une procédure de près de deux années, la CNIL a condamné la société GOOGLE au paiement d'une amende de 150.000 euros pour non -respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et a ordonné la publication de cette condamnation sur les sites Internet de la CNIL et de Google.

[Rappel] Le 24 janvier 2012, la société Google annonçait son projet de refondre l'ensemble des règles de confidentialité de ses services au sein d'un document unique applicable à l'ensemble des produits et sites Internet proposés par Google .

Le 2 février 2012, le G29 demandait la suspension du projet afin d'analyser la conformité de la politique de confidentialité envisagée à la règlementation européenne en matière de données personnelles. La CNIL, désignée par les CNIL européennes adressa les 16 mars et 22 mai 2012, deux questionnaires à la société américaine afin d'analyser cette politique de confidentialité mais n'obtint que des réponses incomplètes ou approximatives.

Le 16 octobre 2012, le G29 adressa plusieurs recommandations à la société. Le 23 mars 2013, Google s'engageait à mettre en place des mesures destinées à améliorer la protection des données personnelles des utilisateurs.

Le 13 juin 2013, la société Google persistant dans sa position ambigüe, la Présidente de la CNIL lui adressa une mise en demeure de se mettre en conformité avec les dispositions de la loi Informatique et Liberté dans un délai de 3 mois, à peine de voir engager une procédure répressive sur le fondement de l'article 45, I, 1° de a loi Informatique et Libertés. Dans sa réponse à la CNIL, la société Google contesta l'ensemble des manquements qui lui étaient reprochés ainsi que l'applicabilité de la loi française aux traitements en cause et la compétence de la CNIL pour engager une procédure répressive.

Le 3 janvier 2014, « eu égard à la persistance des manquements précités » , la formation restreinte de la CNIL est entrée en voie de condamnation en relevant un certain nombre de manquements à la loi Informatique et Liberté qui peuvent s'analyser d'une façon générale en un défaut d'information par l'emploi de termes imprécis et ambigus quant à la nature des données collectés, leur finalité et aux droits des utilisateurs .

Le montant de cette condamnation pécuniaire peut prêter à sourire au vu du chiffre d'affaires de Google qui dépassait les 50 milliards de dollars en 2012 . Mais, elle intervient quelques mois à peine après une condamnation espagnole à une amende de 900.000 d'euros et dans un contexte de mobilisation de l'ensemble des autorités de proection européennes contre la nouvelle politique de confidentialité de Google.

I. La politique de confidentialité litigieuse

Jusqu'au changement de politique de données personnelles, chaque site Internet proposé et chaque produit proposé obéissait à ses propres règles de confidentialité.

Le principe de la refonte de ces politiques applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, en un document unique n'est pas critiqué en tant que tel par la CNIL ; une simplification étant légitime. Mais, les termes des conditions simplifiées ne permettent pas à l'internaute de comprendre et donc de consentir de manière éclairée à la collecte et au traitement de ses données personnelles.

Le non respect de l'obligation d'informer les utilisateurs sur les conditions et la finalité des traitements des données personnelles

L'article 32 I de la loi Informatique et Liberté impose au responsable de traitement d'informer l'utilisateur de son identité, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles d'un défaut de réponse, des destinataires des données, des droits d'accès et de rectification et de tout transfert de données à caractère personnel en dehors de l'Union européenne.

Les règles de confidentialité litigieuses sont rédigées dans des termes imprécis de sorte que l'utilisateur d'un service Google est incapable de déterminer le responsable de traitement, les données personnelles utilisées pour chaque service et les finalités exactes pour lesquelles ces données sont traitées.

La conformité à la règlementation française exige de s'assurer que les utilisateurs soient en mesure de comprendre la manière dont leurs données seront traitées, de manière effective et complète au regard des circonstances de la collecte.

Concrètement, Google devrait informer « en langage simple, direct et sans ambigüité » l'identité du responsable de traitement et les finalités du traitement pour un traitement « loyal » des informations.

Le non-respect de l'obligation de recueillir le consentement des utilisateurs avant de déposer des cookies

L'article 32 II de la loi Informatique et Liberté prévoit que l'utilisateur doit être informé « de manière claire et complète » des moyens mis en oeuvre par le responsable de traitement pour accéder aux données et le moyen de s'y opposer.

La CNIL a précisé que le consentement doit s'apprécier aux termes de l'article 2.h de la Directive 95/46/CE du 24 octobre 1995 de sorte que le consentement consiste en « toute manifestation de volonté libre, spécifique et informée ».

Ainsi, il n'est pas possible de déposer des cookies sans le consentement de l'utilisateur. Or selon la CNIL, « il est établi qu'un tel dépôt de cookies est réalisé dès la connexion au service en ce qui concerne les utilisateurs des services de la société qui ne se sont pas préalablement authentifiés au travers d'un compte Google », de sorte que la société ne communique aucune information permettant à l'utilisateur d'accepter ou de refuser ce dépôt et la lecture des informations stockées.

L'absence de définition d'une durée de conservation des données

L'article 6.5 de la Loi Informatique et Libertés dispose que les données « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Malgré les multiples recommandations adressées à Google et bien que la société ait défini trois durées de conservation (effacement du dernier octet des adresses IP dans les journaux des serveurs de Google : 9 mois ; la validité des cookies déposés dans les navigateurs des utilisateurs : 2 ans ; l'anonymisation du numéro de cookies dans les journaux des serveurs de Google : 18 mois), elle n'a fixé aucune durée de conservations pour les autres données qu'elle collecte et traite et demeure évasive sur ce point.

La combinaison illimitée des données des utilisateurs

Les règles de confidentialités litigieuses stipulent que « Les informations personnelles que vous fournissez pour l'un de nos services sont susceptibles d'être combinées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. Le recoupement de données en provenance de cookies DoubleClick avec des données permettant de vous identifier n'est possible qu'avec votre accord explicite ».

Google s'autorise ainsi à combiner de façon illimitée les données des utilisateurs collectées à travers l'ensemble de ses services et ce quel que soit le degré d'activité de l'utilisateur (qu'il soit authentifié par un compte Google, qu'il utilise les services sans avoir recours à un compte ou qu'il soit un passif), ce sans l'informer de la nature des combinaisons effectuées afin qu'il puisse comprendre la portée de son accord.

La CNIL en conclut donc que Google viole les dispositions de l'article 7. 4° et 5° de la Loi Informatique et Libertés.

II. Une sanction modique mais symbolique

La CNIL a condamné Google au paiement d'une amende d'un montant de 150.000 euros, montant maximum pour cette autorité indépendante. Ce montant peut être porté à 300.000 euros en cas de récidive.

Ce n'est pas tant sur le montant - bien dérisoire pour Google, en ce qu'il ne représente que... 2 minutes d'activité - de cette amende qu'il convient de porter son attention que sur le symbole que représente une telle sanction nationale au sein de l'Union européenne.

La règlementation européenne en matière de données personnelles est contenue dans la Directive 95/46/CE du 24 octobre 1995, transposée dans le droit national de chacun des Etats membre. Si aucune sanction européenne globale ne peut être infligée, les autorités de protection de chacun des Etats membres peuvent, à l'instar de la CNIL, engager une procédure contre Google et sanctionner cette société.

Emboîtant le pas à la CNIL, cinq autres autorités européennes (britannique, espagnole, italienne, néerlandaise et du land de Hambourg) ont également engagé des procédures répressives. L'Espagne a condamné la société à une amende de 900.000 euros au mois de septembre 2013. D'autres sanctions vont probablement suivre.

L'Union européenne compte près de 510.000.000 d'habitants et représente un marché important dont Google ne peut se passer. Quelques 27 condamnations - quel que soit leur montant - ne pourraient-elles pas constituer un signe suffisamment fort de la part de l'Union européenne pour contraindre Google à modifier ses règles en matière de confidentialité et les adapter au contexte européen ? L'avenir nous le dira. Le bras de fer entre Google et les institutions et autorités européennes de protection ne fait que commencer.

Avec la participation de Gwendoline Perfetti, avocate au barreau de Paris

Par pascal.alix le 22/10/12

La société Gras Savoye a conclu avec la société Easydentic un contrat d'installation, de location et de maintenance d'un système de contrôle d'accès biométrique dans ses locaux.

Le prestataire/loueur/mainteneur a cédé à une autre société (la société Parfip Parflip France) la propriété du matériel. La société Gras Savoye a résilié le contrat car l'installation intégrale du système n'aurait jamais été effectuée. Ultérieurement, la société Gras Savoye a cédé un fonds de commerce. Prétenant être titulaire d'une créance envers la société Gras Savoye au titre de sommes restant dues en vertu du contrat, la société Parfip, nouvelle titulaire du contrat, a fait opposition au paiement du prix de vente de ce fonds. La société Gras Savoye en a demandé la mainlevée en référé.

La Cour d'appel de Paris a, par arrêt rendu le 18 mai 2010, rejeté la demande de mainlevée d'opposition présentée par la société Parfip, titulaire du contrat, en retenant que la créance de la société prestataire était certaine pour les motifs suivants :

le contrat avait été conclu (avec la société Easydentic) pour une durée irrévocable de 48 mois à compter de la signature du procès-verbal de réception du matériel, le contrat stipulait le paiement d'une mensualité par le locataire ainsi que la cession de la propriété du matériel à la société Parfip, sans que cette dernière soit tenue, en sa seule qualité de société de location financière, de vérifier la bonne livraison et la conformité de l'installation dans les locaux de la société Gras Savoye.

Or, la Cour de cassation a censuré cette décision par un arrêt du 4 octobre 2012 (Cass., com., 4 octobre 2011, pourvoi n° 10-21954) :

"qu'en se déterminant ainsi, sans répondre aux conclusions de la société Gras Savoye faisant valoir que le contrat de location, qui portait sur un système de contrôle non autorisé par la Commission nationale informatique et libertés, était nul pour objet illicite", la Cour d'appel de Paris avait entaché sa décision d'un défaut de réponse à conclusions.

En statuant ainsi, la Cour de cassation a considéré, implicitement mais nécessairement, que le moyen présenté par le locataire du système était pertinent (faute de quoi elle aurait écarté son moyen de cassation).

Par pascal.alix le 18/10/12

Pendant sa campagne électorale, François Hollande avait évoqué un projet d'"Habeas Corpus numérique". Il avait notamment évoqué la création de "nouveaux droits" pour les citoyens quant aux fichiers comportant leurs données personnelles.

Evoquant à nouveau cette proposition, la ministre chargée de l'Economie numérique, Fleur Pellerin a déclaré, devant la commission des Affaires économiques : "Je pense que nous pouvons nous engager à proposer au Parlement dans le courant de l'année 2013, vraisemblablement au premier semestre, un projet de loi sur ces questions, sur un corpus de règles qui permettrait de garantir la protection des données personnelles et la vie privée sur internet".

Ce "corpus de règle" rassemblerait et harmoniserait donc des règles relatives non seulement aux données personnelles, mais, plus largement au respect de la vie privée sur le réseau internet.

La déclaration est faite deux jours après les recommandations et injonctions des autorités de protection des données des pays membres de l'UE à Google et quelques semaines après l'affaire du "vrai-faux bug Facebook", qui avait donné lieu à une enquête de la CNIL révèlant la nécessité de mieux garantir et protéger les droits et libertés des usagers de Facebook.

La Cnil avait demandé, rappelons-le, à Facebook la « nécessité d'une plus grande transparence vis-à-vis des utilisateurs quant à l'usage de leurs données personnelles »

Fleur Pellerin a évoqué « un certain nombre d'incidents ou d'événements récents qui nous ont confortés dans notre conviction », en citant l'exemple de Google.

Fleur Pellerin a précisé à cette occasion : "les fichiers se multiplient et il faut réguler ce foisonnement de traitement de données pour rassurer et assurer un bon équilibre entre la liberté d'expression qui doit prévaloir sur internet et la protection des données".

La ministre vise donc l'importance de la collecte et du traitement des données et, implicitement, le traitement des données combinées (métadonnées et le "big data").

Fleur Pellerin a également précisé qu'elle souhaitait travailler avec la Commission nationale de l'informatique et des libertés (Cnil) et "inviter les grandes plateformes du net à améliorer la transparence des informations personnelles qu'elles possèdent et la façon dont elles les traitent".

Par pascal.alix le 17/10/12

Le 24 janvier 2012, Google a annoncé l'entrée en vigueur de nouvelles règles de confidentialité et de nouvelles conditions d'utilisation. Des enquêtes ont été menées par les autorités européennes de protection des données, dont la CNIL.

Les autorités de protection des données européennes demandent à GOOGLE une information plus claire et d'offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu'elle propose.

Elles souhaitent, par ailleurs, que Google modifie les outils utilisés afin d'éviter une collecte excessive de données.

De manière générale, il est impossible de s'assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles, à savoir :

- la limitation de finalité,

- la qualité des données,

- la minimisation des données,

- la proportionnalité,

- le droit d'opposition.

Aujourd'hui, l'utilisateur est incapable :

- de déterminer quelles sont les données personnelles utilisées pour le service utilisé,

- de déterminer les finalités exactes du traitement des données.

Les autorités européennes recommandent la mise en place d'une présentation avec trois niveaux de détails assurant une information conforme aux exigences de la Directive.

"La combinaison de données entre services a été généralisée [NDLR : métadonnées ] avec ces nouvelles règles de confidentialité : concrètement toute activité en ligne liée à Google (l'utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être rassemblée et combinée."

Par ailleurs, Google a refusé de s'engager sur des durées de conservation des données personnelles traitées.

Les autorités de protection des données européennes attendent que Googlel prenne des mesures effectives et publiques pour se mettre en conformité rapidement.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/regles-de-confident...

Par pascal.alix le 07/10/12

La protection des données personnelles constitue un droit fondamental, complémentaire des droits et libertés constitutionnellement garantis que sont la protection de la vie privée, le droit de propriété, la liberté d'expression ou encore la liberté d'aller et venir. Ce droit est d'autant plus fondamental aujourd'hui à l'heure où les données personnelles constituent le "carburant " du numérique.

Pourtant, alors même que cette protection est consacrée par la Charte des droits fondamentaux de l'Union européenne, mais aussi dans les constitutions ou normes suprêmes de 13 pays en Europe , notre Constitution est muette sur le sujet. Or, aucun des droits et libertés actuellement consacrés par notre Constitution n'épuise la question des données personnelles.

La CNIL promeut donc l'objectif d'inscrire, dans la Constitution, le droit à la protection des données personnelles. Une telle reconnaissance constituerait un acte fort, moderne, au service d'une protection effective du citoyen.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/les-perspectives-po...

Pour Isabelle Falque-Pierrotin, Présidente de la CNIL : "La question de la protection des données personnelles est aujourd'hui au centre des préoccupations, économiques, sociales, commerciales mais aussi politiques, car pour la traiter il est nécessaire d'élaborer une vision collective et partagée de la société. En tant que régulateur des données personnelles, le rôle de la CNIL est de contribuer à la recherche de ce pacte social à partir du modèle humaniste hérité de la loi Informatique et Libertés qui place la personne au centre du dispositif. Il s'agit aussi de repenser notre action et nos outils d'intervention pour animer cet écosystème numérique en pleine mutation et accompagner les différents acteurs."

"La constitutionnalisation du principe de protection des données personnelles est une idée séduisante. D'abord, parce que la notion de protection des données, parfois aussi qualifiée d'Habeas Data, est une notion qui englobe différents éléments appartenant à des champs très différents des libertés publiques. Elle intègre tout à la fois des éléments du droit au respect de la vie privée, du droit à l'oubli, de la liberté d'expression, mais aussi du droit de propriété sur les informations nominatives nous concernant. Sur ce plan, l'intégration dans la Constitution permettrait d'agglomérer des prérogatives qui peuvent aujourd'hui sembler quelque peu disparates, et d'envisager une approche globale des droits du citoyens dans un monde numérisé."

Mais :

"...la constitutionnalisation d'une norme conduit parfois à la figer à un certain stade de son développement. Or le domaine des nouvelles technologies est précisément celui qui a besoin d'évoluer rapidement, de s'adapter en permanence à des nouvelles utilisations...." (Roseline Letteron, Professeur de droit public à l'Université de Paris-Sorbonne (Paris IV)).

Source : http://libertescheries.blogspot.fr/2012/07/la-protection-des-donnees-dan...

Par pascal.alix le 03/10/12

On lit, en substance, dans presque toutes les colonnes des journaux spécialisés et généralistes : la CNIL a achevé son enquête, il n'y a pas eu de "bug FACEBOOK"...

Les juristes - et les journalistes rigoureux - ne peuvent que s'émouvoir de :

- la médiatisation, les 24 et 25 septembre 2012, de faits sur lesquels les informations n'étaient que parcellaires et contradictoires,

- et de l'enterrement rapide et de première classe de cette petite affaire FACEBOOK sans évoquer les conclusions tout à fait nuancées de l'enquête de la CNIL.

Certes, la CNIL a, comme précédemment, dans d'autres cas, fait preuve de réalisme et de compréhension.

Mais elle a tout de même rappelé, ne l'oublions pas :

"Il ressort des analyses menées par la CNIL que les messages incriminés par de nombreux utilisateurs de Facebook semblent être exclusivement des messages "Wall-To-Wall" (de "murs à murs") et non des messages envoyés par l'intermédiaire de la "messagerie privée" de Facebook.

Pour autant, le caractère privé du contenu de certaines des communications révélées semble indiscutable . En d'autres termes, les utilisateurs avaient l'impression d'envoyer des messages privés lorsqu'ils utilisaient la messagerie wall to wall."

Source : http://www.cnil.fr/la-cnil/actualite/article/article/les-conclusions-de-...