Google est menacé d’une action répressive par le G29, autorités européennes de protection des données pour sa politique de confidentialité. N’ayant pas obtenu de réponse à ses recommandations avant l’expiration d’un délai fixé à quatre mois, le groupe des autorités européennes a publié un communiqué de presse daté du 27 février 2013 (1) dans lequel il annonce la création d’un groupe de travail piloté par la Cnil pour coordonner une action répressive envers Google qui devrait intervenir avant l’été.
Rappelons que suite à la modification et à l’harmonisation de la politique de confidentialité globale de Google le 1er mars 2012, la Cnil, au nom de l’ensemble des autorités européennes de protection des données à caractère personnel regroupées au sein du Groupe de travail de l’article 29 (dit G29) a adressé divers courriers et deux questionnaires à la société dans la première moitié de l’année 2012. Le G29 a en effet jugé que le moteur de recherche ne respectait pas toutes les dispositions des directives « protection des données personnelles » et « vie privée et communications électroniques » (2).
Estimant que les réponses données par Google n’étaient pas pleinement satisfaisantes, le Groupe de l’Article 29 lui a adressé un nouveau courrier le 16 octobre dernier, dans lequel les autorités s’inquiétaient plus spécifiquement d’une information jugée insuffisante des utilisateurs sur les finalités et les catégories de données traitées, des possibilités de combinaison des données trop importantes et d’une absence d’indication relative à la durée de conservation des données.
Par ailleurs, un certain nombre de recommandations censées permettre à Google de se conformer au cadre juridique européen étaient annexées à ce courrier. En ce qui concerne l’information de l’utilisateur, il était ainsi préconisé :
- d’adopter une architecture de règles de confidentialité basée sur trois niveaux d’information : des règles de confidentialité intégrées aux produits et des règles interstitielles, les règles de confidentialité actuelles mais tenant compte des modifications nécessaires et enfin des règles de confidentialité spécifiques aux produits ;
- de développer des présentations interactives permettant aux utilisateurs de naviguer facilement entre les contenus de ces différentes politiques de confidentialité ;
- de communiquer des informations complémentaires et plus précises sur les données qui paraissent plus « sensibles », telles que la localisation géographique, les données bancaires et sur les cartes de crédit, les identifiants uniques de terminaux, les données biométriques ;
- d’adapter la présentation de l’information pour les utilisateurs de mobiles ;
- de fournir une information convenable aux utilisateurs dits « passifs ».
En ce qui concerne la combinaison d’informations, le G29 recommandait à Google de détailler plus clairement comment cette combinaison s’opère entre les différents services de la société et de développer de nouveaux outils permettant aux utilisateurs de mieux contrôler leurs données à caractère personnel, grâce, notamment, à une simplification et à une centralisation des mécanismes d’opt-out, une différenciation des finalités de la combinaison de données, une collecte du consentement explicite des utilisateurs quant à ces combinaisons, une possibilité offerte aux utilisateurs authentifiés de contrôler dans quel(s) service(s) ils sont authentifiés, limiter la collecte et les combinaisons de données pour les utilisateurs passifs, mettre en œuvre l’article 5(3) de la directive vie privée et communications électroniques sur les cookies pour les utilisateurs passifs et enfin étendre à tous les utilisateurs européens le processus proposé pour Google Analytics en Allemagne (information améliorée des utilisateurs, utilisation limitée des données et anonymisation des adresses IP).
Réunies en séance plénière du G29 le 26 février 2013, les autorités européennes ont décidé de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent. Un groupe de travail, piloté par la Cnil, a été mis en place afin de coordonner leur action répressive, laquelle devrait être lancée avant l’été. Ce groupe de travail se réunira dans les prochaines semaines et auditionnera Google.
Outre cette possible action répressive à l’encontre de Google par les autorités de protection des données, les moteurs de recherche font l’objet d’une surveillance particulière de la part de la DGCCRF qui a enquêté sur leurs pratiques commerciales, ainsi que sur celles des réseaux sociaux. Les résultats de cette enquête seront portés à la connaissance de la Cnil.
Céline Avignon
Mathilde Alzamora,
Lexing Droit Marketing électronique
(1) Directive n°95/46/CE du 24 octobre 1995 « protection des données personnelles » et n°2002/58/CE du 12 juillet 2002 « vie privée et communications électroniques ».
(2) Communiqué G29 Google privacy policy (EN) du 27-2-2013.