Par pascal.alix le 13/01/14

Le 3 janvier 2014, au terme d'une procédure de près de deux années, la CNIL a condamné la société GOOGLE au paiement d'une amende de 150.000 euros pour non -respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et a ordonné la publication de cette condamnation sur les sites Internet de la CNIL et de Google.

[Rappel] Le 24 janvier 2012, la société Google annonçait son projet de refondre l'ensemble des règles de confidentialité de ses services au sein d'un document unique applicable à l'ensemble des produits et sites Internet proposés par Google .

Le 2 février 2012, le G29 demandait la suspension du projet afin d'analyser la conformité de la politique de confidentialité envisagée à la règlementation européenne en matière de données personnelles. La CNIL, désignée par les CNIL européennes adressa les 16 mars et 22 mai 2012, deux questionnaires à la société américaine afin d'analyser cette politique de confidentialité mais n'obtint que des réponses incomplètes ou approximatives.

Le 16 octobre 2012, le G29 adressa plusieurs recommandations à la société. Le 23 mars 2013, Google s'engageait à mettre en place des mesures destinées à améliorer la protection des données personnelles des utilisateurs.

Le 13 juin 2013, la société Google persistant dans sa position ambigüe, la Présidente de la CNIL lui adressa une mise en demeure de se mettre en conformité avec les dispositions de la loi Informatique et Liberté dans un délai de 3 mois, à peine de voir engager une procédure répressive sur le fondement de l'article 45, I, 1° de a loi Informatique et Libertés. Dans sa réponse à la CNIL, la société Google contesta l'ensemble des manquements qui lui étaient reprochés ainsi que l'applicabilité de la loi française aux traitements en cause et la compétence de la CNIL pour engager une procédure répressive.

Le 3 janvier 2014, « eu égard à la persistance des manquements précités » , la formation restreinte de la CNIL est entrée en voie de condamnation en relevant un certain nombre de manquements à la loi Informatique et Liberté qui peuvent s'analyser d'une façon générale en un défaut d'information par l'emploi de termes imprécis et ambigus quant à la nature des données collectés, leur finalité et aux droits des utilisateurs .

Le montant de cette condamnation pécuniaire peut prêter à sourire au vu du chiffre d'affaires de Google qui dépassait les 50 milliards de dollars en 2012 . Mais, elle intervient quelques mois à peine après une condamnation espagnole à une amende de 900.000 d'euros et dans un contexte de mobilisation de l'ensemble des autorités de proection européennes contre la nouvelle politique de confidentialité de Google.

I. La politique de confidentialité litigieuse

Jusqu'au changement de politique de données personnelles, chaque site Internet proposé et chaque produit proposé obéissait à ses propres règles de confidentialité.

Le principe de la refonte de ces politiques applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, en un document unique n'est pas critiqué en tant que tel par la CNIL ; une simplification étant légitime. Mais, les termes des conditions simplifiées ne permettent pas à l'internaute de comprendre et donc de consentir de manière éclairée à la collecte et au traitement de ses données personnelles.

Le non respect de l'obligation d'informer les utilisateurs sur les conditions et la finalité des traitements des données personnelles

L'article 32 I de la loi Informatique et Liberté impose au responsable de traitement d'informer l'utilisateur de son identité, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles d'un défaut de réponse, des destinataires des données, des droits d'accès et de rectification et de tout transfert de données à caractère personnel en dehors de l'Union européenne.

Les règles de confidentialité litigieuses sont rédigées dans des termes imprécis de sorte que l'utilisateur d'un service Google est incapable de déterminer le responsable de traitement, les données personnelles utilisées pour chaque service et les finalités exactes pour lesquelles ces données sont traitées.

La conformité à la règlementation française exige de s'assurer que les utilisateurs soient en mesure de comprendre la manière dont leurs données seront traitées, de manière effective et complète au regard des circonstances de la collecte.

Concrètement, Google devrait informer « en langage simple, direct et sans ambigüité » l'identité du responsable de traitement et les finalités du traitement pour un traitement « loyal » des informations.

Le non-respect de l'obligation de recueillir le consentement des utilisateurs avant de déposer des cookies

L'article 32 II de la loi Informatique et Liberté prévoit que l'utilisateur doit être informé « de manière claire et complète » des moyens mis en oeuvre par le responsable de traitement pour accéder aux données et le moyen de s'y opposer.

La CNIL a précisé que le consentement doit s'apprécier aux termes de l'article 2.h de la Directive 95/46/CE du 24 octobre 1995 de sorte que le consentement consiste en « toute manifestation de volonté libre, spécifique et informée ».

Ainsi, il n'est pas possible de déposer des cookies sans le consentement de l'utilisateur. Or selon la CNIL, « il est établi qu'un tel dépôt de cookies est réalisé dès la connexion au service en ce qui concerne les utilisateurs des services de la société qui ne se sont pas préalablement authentifiés au travers d'un compte Google », de sorte que la société ne communique aucune information permettant à l'utilisateur d'accepter ou de refuser ce dépôt et la lecture des informations stockées.

L'absence de définition d'une durée de conservation des données

L'article 6.5 de la Loi Informatique et Libertés dispose que les données « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Malgré les multiples recommandations adressées à Google et bien que la société ait défini trois durées de conservation (effacement du dernier octet des adresses IP dans les journaux des serveurs de Google : 9 mois ; la validité des cookies déposés dans les navigateurs des utilisateurs : 2 ans ; l'anonymisation du numéro de cookies dans les journaux des serveurs de Google : 18 mois), elle n'a fixé aucune durée de conservations pour les autres données qu'elle collecte et traite et demeure évasive sur ce point.

La combinaison illimitée des données des utilisateurs

Les règles de confidentialités litigieuses stipulent que « Les informations personnelles que vous fournissez pour l'un de nos services sont susceptibles d'être combinées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. Le recoupement de données en provenance de cookies DoubleClick avec des données permettant de vous identifier n'est possible qu'avec votre accord explicite ».

Google s'autorise ainsi à combiner de façon illimitée les données des utilisateurs collectées à travers l'ensemble de ses services et ce quel que soit le degré d'activité de l'utilisateur (qu'il soit authentifié par un compte Google, qu'il utilise les services sans avoir recours à un compte ou qu'il soit un passif), ce sans l'informer de la nature des combinaisons effectuées afin qu'il puisse comprendre la portée de son accord.

La CNIL en conclut donc que Google viole les dispositions de l'article 7. 4° et 5° de la Loi Informatique et Libertés.

II. Une sanction modique mais symbolique

La CNIL a condamné Google au paiement d'une amende d'un montant de 150.000 euros, montant maximum pour cette autorité indépendante. Ce montant peut être porté à 300.000 euros en cas de récidive.

Ce n'est pas tant sur le montant - bien dérisoire pour Google, en ce qu'il ne représente que... 2 minutes d'activité - de cette amende qu'il convient de porter son attention que sur le symbole que représente une telle sanction nationale au sein de l'Union européenne.

La règlementation européenne en matière de données personnelles est contenue dans la Directive 95/46/CE du 24 octobre 1995, transposée dans le droit national de chacun des Etats membre. Si aucune sanction européenne globale ne peut être infligée, les autorités de protection de chacun des Etats membres peuvent, à l'instar de la CNIL, engager une procédure contre Google et sanctionner cette société.

Emboîtant le pas à la CNIL, cinq autres autorités européennes (britannique, espagnole, italienne, néerlandaise et du land de Hambourg) ont également engagé des procédures répressives. L'Espagne a condamné la société à une amende de 900.000 euros au mois de septembre 2013. D'autres sanctions vont probablement suivre.

L'Union européenne compte près de 510.000.000 d'habitants et représente un marché important dont Google ne peut se passer. Quelques 27 condamnations - quel que soit leur montant - ne pourraient-elles pas constituer un signe suffisamment fort de la part de l'Union européenne pour contraindre Google à modifier ses règles en matière de confidentialité et les adapter au contexte européen ? L'avenir nous le dira. Le bras de fer entre Google et les institutions et autorités européennes de protection ne fait que commencer.

Avec la participation de Gwendoline Perfetti, avocate au barreau de Paris

Par pascal.alix le 02/10/13

Article D98-5, modifié par le décret n°2012-488 du 13 avril 2012 - art. 2

Règles portant sur les conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications et sur la sécurité et l'intégrité des réseaux et services.

[...]

II.-Sans préjudice des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, l'opérateur met en oeuvre une politique de sécurité relative au traitement des données à caractère personnel et prend les mesures nécessaires garantissant que seules des personnes autorisées puissent avoir accès aux données à caractère personnel dans les cas prévus par des dispositions législatives et réglementaires et que les données à caractère personnel stockées ou transmises soient protégées contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites.

L'opérateur est tenu d'exploiter les données à caractère personnel conformément aux finalités déclarées.

1. L'opérateur garantit à tout client, outre les droits mentionnés à l'article R. 10, le droit :

-d'exercer gratuitement son droit d'accès aux données à caractère personnel le concernant ainsi que son droit de rectification de celles-ci ;

-de recevoir des factures non détaillées et, sur sa demande, des factures détaillées.

2. Lorsque les clients de l'opérateur reçoivent une facturation détaillée, les factures adressées :

- comportent un niveau de détail suffisant pour permettre la vérification des montants facturés ;

-ne mentionnent pas les appels à destination des numéros gratuits pour l'utilisateur ;

-n'indiquent pas les quatre derniers chiffres des numéros appelés, à moins que le client n'ait expressément demandé que cela soit le cas.

La facturation détaillée est disponible gratuitement pour l'abonné. Toutefois, des prestations supplémentaires peuvent être, le cas échéant, proposées à l'abonné à un tarif raisonnable.

3. L'opérateur permet à chacun de ses clients de s'opposer gratuitement et par un moyen simple, appel par appel ou de façon permanente (secret permanent), à l'identification de sa ligne par les postes appelés.

Lorsqu'un abonné dispose de plusieurs lignes, cette fonction est offerte pour chaque ligne. Cette fonction doit également être proposée pour des communications effectuées à partir de cabines téléphoniques publiques ou d'autres points d'accès au service téléphonique au public. L'opérateur met en oeuvre un dispositif particulier de suppression de cette fonction pour des raisons liées au fonctionnement des services d'urgence ou à la tranquillité de l'appelé, conformément à la réglementation en vigueur.

Lorsqu'un abonné dispose du secret permanent, l'opérateur lui permet de supprimer cette fonction, appel par appel, gratuitement et par un moyen simple.

4. L'opérateur informe les abonnés lorsqu'il propose un service d'identification de la ligne appelante ou de la ligne connectée. Il les informe également des possibilités prévues aux trois alinéas suivants :

Dans le cas où l'identification de la ligne appelante est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit que l'identification de la ligne appelante soit transmise vers son poste.

Dans le cas où l'identification de la ligne appelante est offerte et est indiquée avant l'établissement de l'appel, l'opérateur permet à tout abonné de refuser, par un moyen simple, les appels entrants émanant d'une ligne non identifiée. L'opérateur peut, pour des raisons techniques justifiées, demander à l'Autorité de régulation des communications électroniques et des postes de disposer d'un délai pour la mise en oeuvre de cette fonction.

Dans le cas où l'identification de la ligne obtenue est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit l'identification de la ligne obtenue auprès de la personne qui appelle.

[...]

Par pascal.alix le 17/10/12

Le 24 janvier 2012, Google a annoncé l'entrée en vigueur de nouvelles règles de confidentialité et de nouvelles conditions d'utilisation. Des enquêtes ont été menées par les autorités européennes de protection des données, dont la CNIL.

Les autorités de protection des données européennes demandent à GOOGLE une information plus claire et d'offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu'elle propose.

Elles souhaitent, par ailleurs, que Google modifie les outils utilisés afin d'éviter une collecte excessive de données.

De manière générale, il est impossible de s'assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles, à savoir :

- la limitation de finalité,

- la qualité des données,

- la minimisation des données,

- la proportionnalité,

- le droit d'opposition.

Aujourd'hui, l'utilisateur est incapable :

- de déterminer quelles sont les données personnelles utilisées pour le service utilisé,

- de déterminer les finalités exactes du traitement des données.

Les autorités européennes recommandent la mise en place d'une présentation avec trois niveaux de détails assurant une information conforme aux exigences de la Directive.

"La combinaison de données entre services a été généralisée [NDLR : métadonnées ] avec ces nouvelles règles de confidentialité : concrètement toute activité en ligne liée à Google (l'utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être rassemblée et combinée."

Par ailleurs, Google a refusé de s'engager sur des durées de conservation des données personnelles traitées.

Les autorités de protection des données européennes attendent que Googlel prenne des mesures effectives et publiques pour se mettre en conformité rapidement.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/regles-de-confident...

Par pascal.alix le 07/10/12

La protection des données personnelles constitue un droit fondamental, complémentaire des droits et libertés constitutionnellement garantis que sont la protection de la vie privée, le droit de propriété, la liberté d'expression ou encore la liberté d'aller et venir. Ce droit est d'autant plus fondamental aujourd'hui à l'heure où les données personnelles constituent le "carburant " du numérique.

Pourtant, alors même que cette protection est consacrée par la Charte des droits fondamentaux de l'Union européenne, mais aussi dans les constitutions ou normes suprêmes de 13 pays en Europe , notre Constitution est muette sur le sujet. Or, aucun des droits et libertés actuellement consacrés par notre Constitution n'épuise la question des données personnelles.

La CNIL promeut donc l'objectif d'inscrire, dans la Constitution, le droit à la protection des données personnelles. Une telle reconnaissance constituerait un acte fort, moderne, au service d'une protection effective du citoyen.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/les-perspectives-po...

Pour Isabelle Falque-Pierrotin, Présidente de la CNIL : "La question de la protection des données personnelles est aujourd'hui au centre des préoccupations, économiques, sociales, commerciales mais aussi politiques, car pour la traiter il est nécessaire d'élaborer une vision collective et partagée de la société. En tant que régulateur des données personnelles, le rôle de la CNIL est de contribuer à la recherche de ce pacte social à partir du modèle humaniste hérité de la loi Informatique et Libertés qui place la personne au centre du dispositif. Il s'agit aussi de repenser notre action et nos outils d'intervention pour animer cet écosystème numérique en pleine mutation et accompagner les différents acteurs."

"La constitutionnalisation du principe de protection des données personnelles est une idée séduisante. D'abord, parce que la notion de protection des données, parfois aussi qualifiée d'Habeas Data, est une notion qui englobe différents éléments appartenant à des champs très différents des libertés publiques. Elle intègre tout à la fois des éléments du droit au respect de la vie privée, du droit à l'oubli, de la liberté d'expression, mais aussi du droit de propriété sur les informations nominatives nous concernant. Sur ce plan, l'intégration dans la Constitution permettrait d'agglomérer des prérogatives qui peuvent aujourd'hui sembler quelque peu disparates, et d'envisager une approche globale des droits du citoyens dans un monde numérisé."

Mais :

"...la constitutionnalisation d'une norme conduit parfois à la figer à un certain stade de son développement. Or le domaine des nouvelles technologies est précisément celui qui a besoin d'évoluer rapidement, de s'adapter en permanence à des nouvelles utilisations...." (Roseline Letteron, Professeur de droit public à l'Université de Paris-Sorbonne (Paris IV)).

Source : http://libertescheries.blogspot.fr/2012/07/la-protection-des-donnees-dan...

Par pascal.alix le 05/10/12

La protection des données à caractère personnel est un droit fondamental consacré par plusieurs textes européens.

La Convention européenne des droits de l'homme (CEDH) ne mentionne pas explicitement la protection des données à caractère personnel. Mais la jurisprudence de la Cour européenne des droits de l'homme retient que le droit à la protection des données est compris dans l'article 8 de la Convention.

Toujours au sein du Conseil de l'Europe, la reconnaissance explicite du droit fondamental à la protection des données à caractère personnel résulte des dispositions de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (« Convention 108 »).

Au sein de l'Union européenne, la protection des données est un droit fondamental consacré par l'article 8 de la Charte des droits fondamentaux de l'Union européenne

l'article 8 de la Charte des droits fondamentaux de l'Union européenne est fondé sur :

l'article 286 du traité instituant la Communauté européenne, sur la directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sur l'article 8 de la CEDH, et sur la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (La « Convention 108 » précitée).

L'objectif de la Charte des droits fondamentaux est, rappelons-le, de renforcer, en les rendant plus visibles mais non contraignants, la protection des droits qui résultent des traditions constitutionnelles de ses Etats membres.

Les institutions européennes travaillent actuellement sur une réforme du cadre de la protection des données dans l'Union afin de "mettre un terme à la fragmentation actuelle grâce à des règles nationales spécifiques".

Source : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+COMPARL+LIBE-OJ-20121009-1+03+DOC+XML+V0//FR