La Cnil mène la fronde européenne contre Google sur la protection des données personnelles et envisage avant Noël des sanctions, lesquelles pourraient être
plus médiatiques qu’efficaces. Les entreprises européennes pourraient en être
les victimes collatérales. Le bras de fer est loin d’être terminé.

Par (photo), avocat associé, et Hugo Bats, cabinet K&L Gates LLP.

La nouvelle politique de confidentialité de Google, édictée en
mars 2012 pour simplifier et faciliter l’utilisation de ses services,
de la messagerie Gmail aux téléphones Android, a été étudiée
et fortement questionnée au cours d’une enquête initiée au sein
du G29 – groupe de travail des autorités européennes pour la protection des données personnelles et de la vie privée (1) – et menée sous la conduite de la Cnil (2) par six autorités nationales.

La réponse graduée de la Cnil
Au terme de l’étude portant sur le document présentant la politique de confidentialité appliquée par Google, la présidente de la Cnil, Isabelle Falque-Pierrotin, explique qu’il s’agit d’un « document écrit de manière extrêmement large ». Selon la Cnil, il présenterait les traitements de façon égale, peu importe le type et l’usage, et informerait peu les utilisateurs sur la nature des données collectées, leur usage, leur combinaison et croisement parmi les services Google et la durée de leur conservation. La Cnil critique également le faible niveau de coopération de la firme de Mountain View (Californie) au motif que cette dernière aurait préféré employer le conditionnel plutôt que de s’engager
de façon précise, notamment en matière de durée de conservation maximale des données collectées.
Le 10 juin 2013, la présidente de la Cnil décidait de mettre en demeure la société Google Inc., sous un délai de trois mois, de se conformer à la loi Informatique & Libertés, avec, entre autres thèmes, l’obligation de définir des finalités déterminées et explicites d’utilisation des données, de procéder à l’information des utilisateurs sur ces finalités,
de définir une durée de conservation claire et de s’interdire de procéder, à défaut de base légale, à la combinaison des données des utilisateurs parmi les divers services fournis par Google.
Au dernier jour du délai de réponse imparti, Google répondait à la Cnil en contestant l’applicabilité de la loi Informatique & Libertés aux services de Google utilisés par des résidents en France, tout en ne justifiant pas avoir entrepris des démarches pour se conformer aux objectifs fixés dans la mise en demeure. La Cnil a annoncé, dans un communiqué du 27 septembre 2013, son intention d’engager une procédure formelle
de sanction, sans dire quand. « Des sanctions peuvent être envisagées avant Noël »,
a seulement dit Isabelle Falque-Pierrotin dans une interview à Libération (3).

L’amende pouvant être infligée par la Cnil – et susceptible de recours devant le Conseil d’Etat – peut s’élever jusqu’à 150.000 euros, ce qui soulève une question de proportion quand le chiffre d’affaires consolidé de Google dépasse 50 milliards de dollars. Dès lors, il y a fort à parier que la sanction serait davantage médiatique et s’inscrirait dans
le calendrier politique de la vaste réforme européenne de la protection des données personnelles. Cette réforme, initiée par la publication le 25 janvier 2012, d’un projet de règlement européen encore en cours de discussion parlementaire (4), est le siège de toutes les oppositions : non seulement entre les tenants d’une élévation ou d’un simple maintien du niveau de protection des données garanti en Europe, mais également ente l’Union européenne et les États-Unis.

Défiance européenne et triple frustration
L’affaire NSA-Prism (5) a suscité des tensions diplomatiques, particulièrement entre, d’une part, la Commission européenne, l’Allemagne et la France et, d’autre part, l’administration Obama. Au-delà des entreprises américaines qui, comme Google et tant d’autres, se retrouvent critiquées en Europe pour leur application du droit américain de la protection
de la vie privée et de la sécurité nationale américaine, le scandale de la surveillance
des communications françaises par la NSA vient renforcer un sentiment de défiance en Europe (6) qui repose désormais sur une triple frustration : l’usage mutualisé des données personnelles au sein de ces groupes mondiaux pour l’ensemble de leurs services (frustration économique) ; l’accusation d’évasion fiscale qu’autorise le jeu des conventions fiscales en vigueur (frustration fiscale) ; la captation par la NSA de données relatives aux communications électroniques des ressortissants européens (frustration régalienne).

Entre Graal et Waterloo juridique
En matière de protection des données personnelles, le G29 a évoqué la possibilité de sanctions lourdes, notamment en indexant l’amende précitée sur le nombre d’utilisateurs. Toutefois, ce type d’amende « multiplicative » n’aurait pas vocation à s’appliquer en l’espèce en droit français (7). Nous en saurons certainement davantage lors de la remise des conclusions du rapporteur de la Cnil, annoncée au plus tôt pour mi-novembre 2013. La Cnil, comme le G29, communiquent sur la menace de sanctions contre Google depuis plus d’un an, avec une telle certitude et une telle récurrence, qu’on peut s’en inquiéter. Non pas pour Google seulement, mais pour l’immense risque de décrédibilisation que représenterait pour ces autorités un Waterloo juridique. On peut comprendre qu’épingler Google constituerait une sorte de Graal pour les représentants de ces autorités et une extraordinaire caisse de résonance dans les débats européens et transatlantiques en cours en matière de protection des données personnelles. Cependant, sur le fond, ce qui est reproché à Google par la Cnil – une fois l’analyse juridique débarrassée des scories de l’émotion anti-américaine – pourrait tout autant être reproché à des centaines de groupes français et européens (8). D’aucuns objecteront que la situation de Google
est différente, voir unique, en particulier de par sa taille. Certes. Mais la taille n’est pas un délit en matière de protection des données. Ce qui serait illicite, selon la Cnil, ce serait l’absence d’un contrat « chapeau » venant consolider l’ensemble des services de Google dans une base légale unifiée, susceptible de justifier une combinaison des données des utilisateurs parmi tous les services de Google. Ce contrat, ou plutôt ce quasi-contrat au sens du droit civil français, qui n’engage que l’entreprise et non le consommateur, ne serait-il pas justement cette privacy policy dont la Cnil critique la finalité transverse entre les services de Google ?
Tout bien considéré, si la Cnil veut sanctionner, elle sanctionnera. La sanction potentielle qu’elle pourrait prononcer entre dans ce que Google peut débourser, financièrement et dans sa communication. A tel point que Google pourrait ne pas avoir besoin ni envie de faire appel.

Or, si cette affaire de privacy policy devait s’arrêter à une sanction par la Cnil, ce serait d’ailleurs préjudiciable aux entreprises européennes. En effet, ces dernières devraient,
le cas échéant, se contenter d’une sanction prononcée par la Cnil contre Google, sans qu’un recours devant le Conseil d’Etat ne puisse permettre de nourrir un débat doctrinal
et juridique plus impartial sur la violation réelle de la loi française qui résulterait d’une telle privacy policy. Or, le Conseil d’Etat – à la différence de la Cnil – n’a pas d’agenda institutionnel ou médiatique et n’a pas de compétition à mener en matière d’influence politique parmi les autorités européennes de protection des données personnelles. Il sera donc très intéressant d’observer les prochains développements de ce bras de fer, tant du côté de la Cnil que de la stratégie de réponse ou de non réponse de Google.
Il semble qu’il faudra à la Cnil bien plus d’arguments qu’elle n’en a développés dans les médias jusqu’à présent, pour articuler une sanction sur un manque de base légale. En effet, la combinaison des données entre divers services d’une même entreprise n’est
pas interdite par nature ; elle n’est même pas soumise au consentement explicite des personnes, en l’état du droit français. Elle est permise tant que l’information des personnes est accessible et complète, que les personnes disposent d’un droit au refus
– en matière de combinaison – qui ne s’oppose pas à la logique du service fourni et que cette logique ne porte pas atteinte aux droits et libertés fondamentaux des personnes.

Google est-il vraiment hors-la-loi ?
Il suffit de lister ces critères juridiques d’appréciation pour constater que leur relativité
peut tout autant conduire la Cnil à trouver matière à sanctionner, qu’elle peut permettre
à Google de démontrer que ses services ne sont pas contraires par nature à la loi française. Si à cette relativité s’ajoute la difficulté de démontrer, service par service, que
la loi française serait toujours applicable à Google, il y aurait lieu pour la Cnil de s’inquiéter que sa volonté de faire de Google un exemple ne finisse par avoir un effet boomerang. Il ne faut pas vendre la peau de l’ours… surtout celui qui orne le drapeau de la Californie. @