Google condamné par la Cnil : une insécurité juridique pour les entreprises françaises

Alors que Google n’a pas fait appel dans d’autres pays qui l’ont condamné pour non respect de la protection des données (Pays-Bas, Espagne), il a en revanche contesté la décision de la Cnil devant le Conseil d’Etat. Avec cette dernière, les entreprises françaises pourraient être les victimes collatérales.

Par Etienne Drouard, avocat associé, cabinet K&L Gates LLP.

Etienne DrouardLe 3 janvier dernier, la Cnil (1) a prononcé une sanction pécuniaire de 150.000 euros à l’encontre de la société américaine Google Inc. Il s’agit de la plus forte amende prononcée jusque-là par l’autorité indépendante française,
qui estime que les nouvelles règles de confidentialité de Google ne sont pas conformes à la loi « Informatique et Libertés » du 6 janvier 1978.
En fusionnant les différentes règles de confidentialité applicables à une soixantaine de ses services (Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, …), Google applique une seule politique de confidentialité depuis mars 2012.

Les quatre griefs faits à Google
Si la Cnil comprend cette volonté de simplification, elle estime toutefois que Google ne respecte pas les quatre exigences posées par la loi « Informatique et Libertés ». A savoir que le géant du Net :
• n’informerait pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles, de sorte qu’ils ne sont pas en mesure d’exercer leurs droits ;
• ne respecterait pas l’obligation de recueil du consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux ;
• ne fixerait pas de durées de conservation pour l’ensemble des données qu’elle traite ;
• s’autoriserait, sans base légale, à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services.

La Cnil a également enjoint à Google de publier un communiqué (voir zoom) relatif à cette décision sur le site Google.fr pendant 48 heures, sous huit jours à compter de la notification de la décision. Il est important, pour comprendre le raisonnement suivi par la Cnil, d’analyser cette délibération indépendamment de la société à laquelle elle se rapporte. La Cnil justifie l’application de la loi française au motif que la société américaine Google Inc tire des bénéfices commerciaux de ses activités publicitaires en France. Ce critère économique semblait logique. Cependant, ce raisonnement ne repose pas sur les règles de protection des données permettant
de désigner la loi applicable. En effet, la loi « Informatique et Libertés » a vocation à s’appliquer aux sociétés qui sont établies en France ou qui collectent des données à caractère personnel, en recourant à des moyens techniques situés en France. Sur ce point, la Cnil voulait se déclarer compétente, coûte que coûte, mais sa démonstration de l’application de la loi française à Google Inc paraît très fragile ou, à tout le moins, laborieuse.

Après une phase de rumeurs diffusées dans les médias, un porte-parole de Google a confirmé le 15 janvier dernier, auprès de l’AFP, avoir fait appel de la décision de la Cnil devant le Conseil d’Etat – en référé – pour contester l’injonction de devoir publier durant deux jours la condamnation prononcée par la Cnil, puis au fond. Selon Le Figaro, Google a déposé le 15 janvier justement un recours en référé devant le Conseil d’Etat, ainsi qu’un recours sur le fond. Ce recours en référé étant suspensif, Google n’aurait pas à faire état de cette condamnation sur son moteur de recherches. Ce qu’il aurait dû mettre en ligne à partir du 16 janvier.
Les condamnations récentes prononcées à l’encontre de Google dans d’autres pays européens, n’ont pas fait l’objet d’appel, Google se contentant de payer une amende qui, au regard de sa taille, est symbolique. Ainsi, le 19 décembre 2013 en Espagne, Google écopait de trois amendes simultanées pour un montant total de 900.000 euros (3). Fin novembre 2013, l’autorité néerlandaise rendait des conclusions similaires à l’encontre du géant du Net.

Autant de règles que de services ?
En tout état de cause, quelles peuvent être pour les sociétés françaises les leçons
à tirer de la condamnation prononcée par la Cnil ? Elles sont au nombre de deux :
• Lorsqu’une entreprise fournit divers services régis par autant de conditions d’utilisation, mais obéissant à une seule privacy policy, la Cnil semble estimer que
la juxtaposition des diverses finalités d’utilisation des données, serait illicite. Selon la Cnil, les utilisateurs devraient pouvoir accepter des finalités propres au service qu’ils souscrivent, et rejeter d’autres finalités pour les services qu’ils n’ont pas encore utilisés. Si les entreprises françaises devaient tirer les conséquences d’une telle opinion, elles devraient élaborer autant de privacy policy qu’elles ont de services. Pourtant, aucune disposition française ou européenne de protection des données à caractère personnel, n’exige d’une même entreprise qu’elle s’interdise l’usage croisé des données de ses clients ayant souscrit tel ou tel service qu’elle fournit.

Le « tout ou rien » critiqué par la Cnil
• D’après la Cnil, Google s’autoriserait, « sans base légale », à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services. Or, l’exigence d’une « base légale » formulée par la Cnil ne repose sur aucun fondement juridique. En filigrane, la Cnil conteste le souhait d’une fusion simplificatrice des finalités
de traitement des données portées à la connaissance des personnes. En l’espèce, Google a remplacé des centaines de pages de privacy policies cumulées pour 65 services différents, en un document transversal de seize pages (4) propre à l’ensemble des services fournis par le groupe Google et une vidéo d’information. Selon la Cnil, simplifier à outrance reviendrait à désinformer et favoriserait une logique du « tout ou
rien ».
Paradoxalement, la Cnil, avec ses homologues européens du groupe dit « G29 » (5), critique l’inefficacité des explications trop longues qui dissuaderaient les utilisateurs
de prendre connaissance du fonctionnement des services et de leurs droits. Ainsi, par exemple, en matière de cookies, les autorités de protection des données en Europe,
dont la Cnil en France, ont travaillé à réduire les textes d’information des personnes et
à simplifier à outrance la description des finalités d’utilisation des cookies. Poursuivant une logique simpliste, ces autorités tendent à suggérer une distinction binaire entre les finalités liées exclusivement à la fourniture d’un service et celles – qui seraient dangereuses et soumises à l’autorisation préalable des personnes – liées à la publicité. En conclusion, il ne s’agit pas, ici, de prendre une position pour ou contre la Cnil, ni pour ou contre Google. Il s’agit essentiellement de relever qu’en extrapolant le raisonnement intellectuel suivi par la Cnil pour condamner Google, de nombreuses entreprises françaises pourraient tomber sous le coup d’une condamnation pécuniaire au motif qu’elles fournissent plusieurs types de services régis par une privacy policy commune, réalisant une synthèse dans un souci de simplification.
Enfin, l’exigence d’une publication d’un communiqué sur le site Google.fr – à savoir sur la page d’accueil française du célèbre moteur de recherche – révèle que la Cnil, elle-même, poursuit une logique de communication, plutôt que de rigueur juridique. En effet, en droit français, la publication d’une condamnation est une peine complémentaire qui doit être expressément prévue par la loi. Une telle obligation de publication n’est pas prévue par la loi « Informatique et libertés ». La logique de communication et de polémique médiatique entre Google et la Cnil ne présente aucun intérêt pour les entreprises françaises. En revanche, si l’appel formé par Google devant le Conseil d’Etat ne permettait d’approfondir le raisonnement suivi par la Cnil et, si cet appel était rejeté sur des motifs de fond confortant ce raisonnement, la sécurité juridique des entreprises françaises pourrait s’en trouver affaiblie. Quoi qu’on pense de la puissance hégémonique de Google et des risques internationaux qui pèsent sur la vie privée des personnes, on ne saurait se réjouir d’une telle insécurité juridique. Gageons que le Conseil d’Etat ne sera pas aveuglé par la cible de la Cnil (6), faute de quoi les entreprises françaises pourraient, à l’avenir, suivre le chemin de condamnations ou devoir bouleverser leurs modèles contractuels et économiques, de crainte de se voir appliquer une « jurisprudence Google » qui ne leur serait pas aussi indolore qu’elle le serait pour le géant américain. @

ZOOM

Ce que Google n’a pas (encore) publié
« Communiqué : la formation restreinte de la Commission nationale de l’informatique
et des libertés a condamné la société Google à 150.000 euros d’amende pour manquements aux règles de protection des données personnelles consacrées par
la loi ‘’Informatique et libertés’’. Décision accessible à l’adresse suivant : http://www.cnil.fr/linstitution/ missions/sanctionner/Google/ ». Ce texte que la Cnil
a demandé au géant du Net de publier sur Google.fr ne l’a pas encore été (à la date
où nous bouclons ce numéro).
La délibération n°2013-420, prononçant une sanction pécuniaire à l’encontre de Google, a aussi « ordonné » à ce dernier la publication durant 48 heures de ce texte en le justifiant, « compte tenu du caractère massif des données collectées par la société [Google], du nombre important et indéterminé des personnes concernées, qui pour nombre d’entre elles ne sont pas en mesure de s’y opposer ni même d’en être informées ». @