reputationsquad
- Pas de commentaire

Google : bouc-émissaire du procès des données personnelles sur Internet ?

Google Cnil

Le moteur de recherche de Google aurait parfois tendance à être assimilé de facto à internet tant ses parts de marché sont colossales en Europe et en particulier en France. Or, ce raisonnement conduit certaines autorités publiques et certains justiciables à tenir Google pour responsable de beaucoup de problèmes sur internet, alors même que ce moteur ne fait qu’indexer des pages de contenu.

S’il est vrai que le référencement de sites par Google accentue fortement le caractère public d’une information, il n’est pas forcément très juste juridiquement ni très judicieux de chercher à engager la responsabilité juridique du moteur. A ce titre, le procès qui oppose l’autorité de  protection des données en Espagne à Google et la récente décision de référé du TGI de Montpellier (Marie C. c/ Google) illustrent cette tendance à assimiler Google à Internet.

I – Chez Google, on récolte… des données personnelles!

Google fait couler beaucoup d’encre dès qu’il s’agit de parler des données personnelles. La CNIL vient d’ailleurs de condamner l’entreprise à 100 000 euros d’amende en rapport avec l’affaire des google cars du système street view. Google a effectivement fauté en « sniffant » des données issues de réseaux wifi publics non sécurisés en utilisant un logiciel dénommé Gstumbler, un sniffeur de réseaux sans fil au fonctionnement semblable à Kismet. En comparaison des données captées, les 100 000 euros d’amende infligés paraissent bien ridicules.

Sans vouloir défendre Google à tout prix, il faut néanmoins préciser qu’il est extrêmement simple de capter des données wifi issues d’un réseau non sécurisé, de même qu’il ne faut que 10 à 15 minutes pour pénétrer un réseau sécurisé par clef Wep à l’aide de programmes adéquats (la suite aircrack-ng par exemple préinstallée sur la distribution linux backtrack).

La CNIL aurait peut être dû en premier lieu s’inquiéter de l’absence de cryptage sur ces réseaux wifi plutôt que de s’en prendre uniquement à Google. Il semble en effet que des données de santé aient été captées par Google (lire le rapport de la Cnil pour plus de détails, p11). Il est ainsi plutôt inquiétant de constater que des données confidentielles et sensibles circulent librement dans l’air sans aucun cryptage.

Si Google a commis une erreur majeure, cette dernière a été grandement facilitée par l’absence de campagne de sensibilisation des français aux bases de la cryptologie (conseil : ne consultez jamais vos comptes bancaires en ligne sur un hotspot wifi en ville et sécurisez votre wifi personnel par une clef WPA d’au moins 30 caractères hexadécimaux ou ASCII…)

II – Google y « el derecho al olvido* »

Google : mauvaise cible?

La CNIL n’est pas la seule autorité de protection des données à s’intéresser de près à Google puisque son homologue espagnol a décidé d’assigner le géant devant la justice sur le fondement du droit à l’oubli numérique contenu dans la loi espagnole issue de la transposition de la directive 95/46/CE.

Certaines personnes se sont en effet plaintes de voir indexées d’anciennes informations négatives les concernant par le moteur de recherche. Si la perspective de créer une jurisprudence « moteurs de recherche » en rapport avec le droit des données personnelles est intéressante, on peut se demander si la CNIL espagnole a assigné la bonne personne. Google ne fait qu’indexer du contenu déjà public par nature et physiquement enregistré sur des serveurs qui appartiennent à des tiers.

Il aurait ainsi été plus judicieux d’assigner les premiers responsables des traitements de données, à savoir les sites à l’origine de la publication des informations. Il faut noter que ces derniers ont d’ailleurs la possibilité d’empêcher l’indexation d’un contenu par les robots de recherche des moteurs de Google, Yahoo et autres. L’insertion d’une balise meta « noindex » ou l’utilisation d’un fichier « robots.txt » sur le site source empêchent en effet l’indexation d’un contenu par un moteur.

En assignant Google, l’autorité espagnole n’envisage qu’une partie du problème du droit à l’oubli sur internet. Il existe en effet de nombreux moteurs de recherche mais surtout des milliards de sites internet responsables de la diffusion d’un contenu. La tendance à vouloir assimiler Google à internet est ainsi dangereuse car cette société n’est qu’un des acteurs, certes majeur, d’un système global.

D’un point de vue strictement juridique

Il existe une autre limite à considérer Google comme le grand responsable des traitements de données personnelles effectués sur internet. La directive 95/46/CE sur les données personnelles et ses transpositions en droit national des pays membres de l’UE, excluent de leur champ d’application les traitements de données effectués en dehors du territoire de l’UE ou réalisés sur son territoire pour permettre le seul transit d’informations (article 5 de la loi informatique et libertés du 6 janvier 1978). Google qui centralise ses serveurs aux Etats-Unis est ainsi exclu du champ d’application de la directive.

Pour contourner ce problème, il ne reste plus que les mécanismes complexes de droit international privé afin de contraindre Google à respecter le droit européen des données personnelles. Il faudrait pour cela que la loi informatique et libertés soit reconnue comme une loi de police justifiant son application expresse à Google. Le seul précédent sur le sujet avait fait la part belle à Google en considérant que la loi de 1978 n’était pas une loi de police (TGI de Paris, réf. 14 octobre 2008)

Récemment (TGI Montpellier, réf. 28 octobre 2010), Google s’est vu appliquer la législation française sur les traitements de données personnelles. Le tribunal a considéré que Google était responsable du traitement de données consistant à indexer du contenu sur son moteur mais ne s’est pas attardé sur des questions de droit international.

Il est donc délicat de vouloir contraindre Google à respecter le droit européen des données personnelles concernant son moteur de recherche en raison du champ d’application restreint des textes en question.

*Le droit à l’oubli

III – La médiatisation du contentieux : parfois plus de mal que de bien

La dernière décision contre Google n’a rien réglé au problème de la « victime »

L’aspect juridique n’est pas seul à poser problème car qui dit procès dit publicité, en particulier lorsqu’il s’agit de Google. La décision précitée ayant opposée Madame C. à Google est l’exemple même des risques inhérents de médiatisation de toute procédure judiciaire.

Les procès contre Google intéressent les juristes et les médias qui relaient rapidement les décisions rendues. Ainsi, et bien que les décisions soient en général anonymisées sur internet, il est possible de retrouver le nom de la personne physique ayant assigné Google. Dans le cas de Madame C. certains individus se sont ainsi amusés à lui créer un faux profil sur twitter afin de la ridiculiser.

Les contentieux face à Google suscitent ainsi la curiosité des internautes qui vont chercher à répondre la question suivante : « mais qui diable a-t-il réussi à faire condamner Google ? ». Certains médias peu scrupuleux vont ainsi relayer l’information avec le nom complet de la personne concernée et aggraver la situation sur internet.

Moins médiatique mais plus efficace: s’attaquer aux sources du problème

Sachant que Google n’est pas à l’origine de la publication des contenus en question, il apparaît finalement peu judicieux d’assigner le moteur seul, en comparaison des éventuelles conséquences de la médiatisation de l’affaire. Le caractère pornographique des contenus litigieux dans l’affaire précitée, diffusés en masse sur internet, accentue encore le phénomène.

On peut finalement s’interroger sur la pertinence de vouloir placer Google au centre du débat sur le droit à l’oubli et les données personnelles sur internet. Il faut en effet garder à l’esprit que la technologie de Google n’est qu’un outil, un simple moyen d’accéder à de l’information que la firme de Moutain View ne produit pas. On ne saurait ainsi que trop le répéter mais Google n’est pas internet.