11 janvier 2014

CNIL: amende de 150 000 euros à l'encontre de Google en ce qui concerne sa politique de confidentialité

[Publié le 11/01/2014 - Modifié le 13/01/2014] 

À l'instar des autorités néerlandaise et espagnole (billet), la Commission nationale de l'informatique et des libertés (CNIL) vient de prononcer une sanction pécuniaire à l'encontre de la société Google pour contravention à la Loi Informatique et Libertés en ce qui concerne la politique de confidentialité de l'entreprise entrée en vigueur le 1er mars 2012. 

Google n'ayant pas donné suite à la mise en demeure qui lui avait été notifiée au mois de juin 2013 (billet), la CNIL a alors désigné un rapporteur aux fins d'engager une procédure formelle de sanction en septembre 2013 (billet)
Et c'est "au vu du rapport et des éléments de l'instruction, des écritures de la société et des observations orales ayant été formulées à l'audience [tenue le 19 décembre 2013 que] la formation restreinte a adopté [la délibération n°2013-420 prononçant une sanction pécuniaire à l'encontre de Google]" le 3 janvier 2014. (Source: CNIL, Délibération n°2013-420, p. 4)

Considérant que la politique de confidentialité ne répondait pas aux exigences de la Loi Informatique et libertés en matière 
- d'information préalable: art. 32-I Loi. [complément ajouté le 13/01] Sur ce point, la CNIL considère que: 
"la validité du choix de la société quant à la fourniture d'une information par "strate", c'est-à-dire dans un texte global auquel sont rattachées des informations supplémentaires, plus détaillées, délivrées sur des supports tiers, n'est pas contestable. 
Cependant (...) la délivrance de cette information par "strate" doit dissocier deux niveaux d'information: d'une part, les informations de premier niveau, qui sont les plus importantes à connaître pour les personnes; d'autre part, des informations qui ne présentent vraisemblablement d'intérêt qu'en seconde intention. Ces informations doivent être formulées en un langage simple, direct et sans ambiguïté. 
Parmi les informations essentielles de premier niveau figurent, outre l'identité du responsable de traitement, les finalités du traitement et toute information supplémentaire nécessaire afin de garantir un traitement loyal de l'information vis-à-vis des personnes concernées. (...) 
La précision et la clarté de l'information communiquée aux personne concernées sont essentielles pour leur permettre de comprendre les conditions dans lesquelles leurs données sont collectées et traitées, ainsi que, le cas échéant, d'exercer effectivement les droits qui leur sont reconnus par la loi: droit d'opposition (article 38), droit d'accès (article 39), droit de rectification ou d'effacement (article 40) (...). 
[En l'espèce, l'information de premier niveau est générale et] ne permet pas à l'utilisateur, authentifié ou non, de prendre conscience des finalités réelles, et par conséquent de l'ampleur de la collecte des données le concernant. Par conséquent, elle ne lui permet pas davantage de mesurer l'intérêt que peut revêtir, pour lui, tant la recherche d'informations complémentaires quant à la manière dont ses données sont traitées et/ou combinées que l'exercice de ses droits, afin de maîtriser l'usage de ses données. 
Ainsi, faute de définir des finalités déterminées et explicites pour l'ensemble des traitements qu'elle met en œuvre au sens de l'article 6-1°, la société ne respecte pas l'obligation qui lui incombe d'informer ses utilisateurs des finalités des traitements opérés sur leurs données.
En outre, au delà de ce déficit substantiel de l'information de "premier niveau", il s'avère difficile pour l'utilisateur de comprendre l'utilisation qui sera faite de ses données dans le cadre d'un service précis et d'ajuster ses choix en conséquence. 
Au contraire, pour parvenir jusqu'à ce niveau d'information, l'utilisateur devra consulter des rubriques diverses, dont les intitulés ne permettent pas une navigation fluide. (...) 
La société ne s'est donc pas conformée aux termes de la mise en demeure sur ce point."
(Source: Délibération n°2013-420, pp. 12-15) 
- de consentement, notamment en ce qui concerne le dépôt et la lecture de cookies: art. 32-II Loi et Délibération n°2013-420, pp. 15-20
- de durée de conservation: art. 6-5°) Loi et Délibération n°2013-420, pp. 20-22 
- de combinaison des données: art. 7 Loi et Délibération n°2013-420, pp. 22-27, 
la formation restreinte de la CNIL a, conformément à l'art. 45-I de la Loi, prononcé 
"à l'encontre de la société Google Inc. une sanction pécuniaire de 150 000 (cent cinquante mille euros).
Elle décide également de rendre cette décision publique sur le site de la CNIL. 
Elle ordonne par ailleurs à la société de publier à sa charge sur son service de communication au public en ligne accessible à l'adresse https://www.google.fr, le texte suivant: 
"Communiqué: la formation restreinte de la Commission nationale de l'informatique et des libertés a condamné la société Google a 150 000 euros d'amende pour manquements aux règles de protection des données personnelles consacrées par la loi "informatique et libertés". Décision accessible à l'adresse suivante: http://www.cnil.fr/linstitution/missions/sanctionner/Google/"."
(Source: CNIL, Délibération n°2013-420, p. 28)
Il est à noter que Google a deux mois pour contester la décision de la CNIL. 

À suivre donc ...  

Pour aller plus loin, voir notamment: 

Aucun commentaire:

Enregistrer un commentaire

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.