31 décembre 2013

Espagne: amende à l'encontre de Google en ce qui concerne sa politique de confidentialité

Le 19 décembre 2013, l'Agence espagnole de protection des données (AEPD) a rendu ses conclusions dans le cadre de la procédure de sanction ouverte en juin dernier (communiqué [en anglais] et billet) contre Google pour violation des principes énoncés dans la Ley Organica de Proteccion de Datos (LOPD - en espagnol / en anglais) quant à la politique de confidentialité de l'entreprise entrée en vigueur le 1er mars 2012. 

Ainsi, l'AEPD dans sa Resolución R/02892/2013 [en espagnol] condamne Google à une amende totalisant 900 000 euros pour violation: 
- de l'article 6.1 de la LOPD selon lequel le traitement des données personnelles exige le consentement de la personne concernée. Or, 
"AEPD’s inspection has demonstrated that Google collects personal information through nearly a hundred of services and products offered in Spain, in many cases not providing adequate information about what data is collected, what data is used for what purposes and without obtaining a valid consent of the data subjects. For example, Google does not inform clearly to users of Gmail that the content of mails and attached files is filtered with the aim to insert tailored advertising. Where Google does inform it uses vague terminology, with generic and unclear expressions that prevent users from knowing what they really mean [...] The result of that approach is an indeterminate and unclear Privacy Policy. The lack of adequate information, particularly about the specific purposes justifying the processing of data, renders meaningless a consent that in order to be valid should be specific and informed." 
- de l'article 4.5 de la LOPD relatif à la suppression des données personnelles lorsque celles-ci ne sont plus nécessaires ou utiles aux finalités pour lesquelles elles ont été collectées. Or, selon l'AEPD
"Contrary to the provisions of Spanish law, Google stores and maintains data for periods of time indeterminate or unjustified, thereby contravening the legal mandate to cancel data when it ceases to be necessary for the purpose which determined its collection. The conservation of the data indefinitely, beyond the requirements arising from the purposes alleged at the time of collection, constitutes unlawful data processing." 
- et des articles 15 et 16 de la LOPD relatifs aux droits d'accès et de rectification des personnes concernées étant entendu que: 
"[...] Google hinders - and in some cases prevents - the exercise of the rights of access, rectification, cancellation and opposition. The procedure that citizens have to follow to exercise their rights or to manage their own personal information requires them to access to an undetermined number of web pages, scattered in several links, that are not available for all types of users and, occasionally, with denominations that do not always refer to its real object. The Company itself recognizes that users must run at least seven different processes, and reserves the right to not respond to requests involving "a disproportionate effort"."  
Partant, en vertu de l'article 44.3 de la LOPD
- traiter des données sans le consentement des personnes concernées (par. b));
- conserver des renseignements personnels qui ne sont plus nécessaires ou utiles (par. c)); ou encore 
- entraver ou d'empêcher l'exercice du droit d'accès et de rectification aux personnes concernées (par. e)) 
constituent des infractions graves punissables d'une amende pouvant aller de 40001 à 300 000 euros conformément à l'article 45.2 de la LOPD. Dès lors, compte tenu des critères de l'article 45.4 ou encore du manque de collaboration de la part de Google avec les autorités de protection des données personnelles, l'AEPD a décidé d'imposer une amende de 300 000 euros pour chacune des infractions constatées. 
"Por otra parte, teniendo en consideración los criterios de graduación de las sanciones establecidos en el artículo 45.4, en concreto, el carácter continuado de las infracciones; el volumen masivo de datos personales que recaba y somete a tratamiento; la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal, puesto que es una empresa que tiene como actividad la prestación de servicios a través de Internet y tiene un constante tratamiento de datos de carácter personal; su volumen de negocio o actividad; que la información personal relativa a los usuarios representa un factor importante en el desarrollo de la actividad empresarial de Google y en la obtención de beneficios, considerando el modelo económico de Google; que las infracciones son el resultado del sistema de recogida y tratamientos de datos diseñado intencionadamente por Google, cuya irregularidad ha sido puesta de manifiesto a la entidad durante toda la fase de investigación, y de la implantación de una política de privacidad deficiente, ineficaz y no ajustada a la normativa, en lo que Google ha mostrado una actitud contumaz desconociendo todos los requerimientos efectuados por las autoridades europeas que han participado en las actuaciones para que dicha política de privacidad no fuese aplicada; así como el perjuicio que dicho sistema causa a la privacidad de los usuarios; procede la imposición de las sanciones establecidas en el artículo 45.2 de la LOPD en su cuantía máxima, es decir, por importe de 300.000 euros (trescientos mil euros) por cada una de las infracciones."
(Source: AEPD, Resolución R/02892/2013, p. 137)
Et, l'AEPD exige que Google adopte, sans délai, des mesures pour se mettre en conformité avec la LOPD et qu'elle en soit avisée (Source: AEPD, Resolución R/02892/2013, p. 139)

 À suivre donc ...

 Pour aller plus loin, voir notamment: 
Publié par à
Libellés : , ,

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.

Inscription à : Publier les commentaires (Atom)