La toute puissante firme américaine Google montre une particulière mauvaise volonté à respecter les législations européennes protégeant la vie privée des citoyens et leurs données à caractère personnel. Avec les nouvelles dispositions de la loi française mais aussi des dispositions législatives des autres pays de l’Union européenne, voici donc la firme de Mountain View éclaboussée dans sa réputation sur le net, en clair, dans son e-réputation — encore nommée web-réputation, cyber-réputation ou encore réputation numérique en français intégral.
C'est d'une certaine manière un juste retour des choses puisque Google Inc. est souvent très peu encline à accepter de nettoyer des propos diffamatoires notamment sur les plateformes de blogs qui lui appartiennent, pour des raisons juridiques non fondées.
En effet, la CNIL et ses homologues européennes disposent aujourd’hui de moyens légaux pour rendre publiques les procédures et les sanctions prononcées à l’encontre d’un "responsable du traitement" récalcitrant. Les faits parleront d’eux-mêmes.

Des recommandations du G29 à Google

Le groupe de travail réunissant les autorités de protection des données à caractère personnel des États-membres de l’Union européenne, prévu à l’article 29 de la directive sur la protection des données à caractère personnel (pour cette raison nommé G29), après une longue étude des conditions de confidentialité offertes par Google à ses internautes, des recommandations ont été adressées à Google Inc. et parallèlement rendues publiques, notamment par la CNIL le 16 octobre 2012.

Une première mise en demeure de la CNIL à l’encontre de Google

Le 20 juin dernier, la CNIL mettait en demeure Google selon la procédure prévue aux articles 45 et 46 al.2 de la loi Informatique, fichiers et libertés :
"Le G29 — le groupe des CNIL européennes — a mené, de février à octobre 2012, une analyse des règles de confidentialité de Google au regard de la législation européenne en matière de protection des données. Sur la base des conclusions de celle-ci, rendues publiques le 16 octobre 2012, le G29 a demandé à Google de se mettre en conformité, dans un délai de quatre mois.
Après de nouveaux échanges entre Google et un groupe de travail piloté par la CNIL, les autorités de protection des données d'Allemagne, d'Espagne, de France, d'Italie, des Pays-Bas et du Royaume Uni ont, chacune en ce qui la concerne, engagé des procédures répressives à l’encontre de Google.
L’analyse opérée par la CNIL a confirmé les manquements de Google au regard de la loi « informatique et libertés », qui conduisent, concrètement, à ce que l’utilisateur ne soit pas en mesure de connaître l’utilisation qui peut être faite de ses données et de la maîtriser.
C’est dans ces conditions que la présidente de la CNIL a décidé de mettre en demeure la société Google Inc., sous un délai de trois mois (…)"  Source : Communiqué de la CNIL du 20 juin 2013.

Rappelons que la mise en demeure constitue une étape préliminaire dans une procédure de sanction qui sera mise en œuvre à l’issue du délai octroyé par la CNIL pour faire cesser les entraves à la loi qu’elle a constaté et pour lesquelles elle a mis le responsable du traitement en demeure (article 45 de la loi Informatique, fichiers et libertés). Rappelons aussi que la CNIL peut décider de rendre publique la procédure ainsi que les sanctions prononcées et au besoin condamner de manière complémentaire le responsable des traitements à publier la décision de la CNIL à ses frais dans la presse (article 46 al.2).

Lancement de la procédure de sanction par la CNIL

"(…) Au dernier jour du délai de 3 mois accordé à la société Google Inc., la société conteste le raisonnement de la CNIL, et notamment l'applicabilité de la loi Informatique et Libertés aux services utilisés par des résidents en France. Elle n'a donc pas effectué les modifications demandées. Dans ce contexte, la présidente de la CNIL va désigner un rapporteur aux fins d'engager une procédure formelle de sanction, telle que prévue par la loi Informatique et Libertés." Source : Communiqué de la CNIL du 27 septembre 2013.

On le voit, la CNIL choisit la transparence, en ce sens que, très consciente des effets de celle-ci, elle choisit la voie de la médiatisation du contentieux contre Google. Il est vrai que cette société s’est souvent montré très rétive aux recommandations et injonctions de la Commission ou de ses homologues européennes dans le passé.

De Google à PRISM... ou de PRISM à Google

La récente affaire PRISM n’a fait que jeter un peu plus d’huile sur le feu de l’opinion publique européenne dont l’estime pour le géant américain était déjà mitigée, quelle que soit la qualité des services qu’offre Google et que nous sommes les premiers, en formation à la veille stratégique ou juridique, à présenter.

Des précautions pratiques à prendre absolument…

Une chose est d’apprécier les services très pratiques offerts par Google, une autre est de faire aveuglément confiance à la firme américaine qui dispose de moyens surpuissants pour conserver toutes sortes de données de connexions des internautes de tous pays.
Nous ne manquons jamais, dans nos formations, de l’expliquer, recommandant par exemple, de ne pas rester connecté à son compte Google en permanence et surtout de ne jamais autoriser Google à conserver l’historique de ses recherches.

… qui rejoignent les injonctions de la CNIL

Ceci rejoint les préoccupations de la CNIL qui transparaissent très clairement dans l’objet de la mise en demeure du 20 juin faite à Google "de se conformer à la loi Informatique et Libertés sous un délai de 3 mois :

  • Définir des finalités déterminées et explicites afin de permettre aux utilisateurs d’appréhender concrètement les traitements portant sur leurs données à caractère personnel ;
  • Procéder à l’information des utilisateurs en application des dispositions de l’article 32 de la loi « informatique et libertés », en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre ;
  • Définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ;
  • Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs ;
  • Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présents sur la page visitée ;
  • Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment."

(Source : communiqué du 20 juin)

En savoir plus

Voir notre actualité du  24 septembre Non-respect des données à caractère personnel, facteur d’e-réputation négative des entreprises dans laquelle nous rappelions les sanctions prévues par la loi avec renvois aux textes eux-mêmes sur Légifrance.
Voir notre fiche synthétique sur Les Données à caractère personnel.

Voir sur le site de la CNIL :

 

Au service de votre e-réputation

Voir aussi nos prestations Au service de votre e-réputation
Action : Nettoyage du Net et Redressement d’image
Prévention : Communication positive et Suivi d’image