Le bras de fer : CNIL contre Google
- 1 commentaire

Mise en demeure de Google par la CNIL – Analyse d’un long bras de fer

Ce 20 juin, la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé qu’elle mettait en demeure la société Google de se conformer, dans un délai de trois mois, à la réglementation française en matière de protection des données à caractère personnel (voir le communiqué de la CNIL). Le bras de fer n’est pas nouveau ; sa publicité n’est que l’aboutissement d’un processus sous-marin qui dépasse la simple controverse CNIL-Google. Cette annonce est symptomatique d’une guerre : celle des grands opérateurs américains contre les autorités du vieux continent.

 

Le cheminement vers la décision

Cette déclaration ne tombe pas de nulle part. Les premiers échanges entre le G29 (groupe de travail réunissant les CNIL européennes) et la société californienne datent, pour ce sujet, de février 2012. Le 27, la CNIL, fer de lance du G29, demandait à Google de reporter sa décision de fusionner les règles de confidentialité de ses différents services en un unique document : des doutes subsistent quant à l’adéquation de cette nouvelle politique avec les réglementations française et européenne. S’en suivront de nombreux mois d’échanges fournis entre les deux sociétés : questionnaire de la CNIL, réponse de Google, demande de précision sur les réponses, rencontres et observations… Le détail de ces échanges est inclus dans le texte de la décision de la CNIL.

C’est au terme de cette analyse, et d’un contrôle lancé le 29 mars de la nouvelle politique de Google relative aux données à caractère personnel, que la CNIL a adressé cette mise en demeure en six points. Pour se mettre en conformité avec le droit, Moutain View doit, en résumé :

  • Informer mieux les utilisateurs sur l’utilisation des données ;
  • Obtenir leur accord préalable pour installer des cookies ;
  • Définir une durée de conservation des données ;
  • Définir des finalités de traitement déterminées et explicites ;
  • Ne pas combiner les données collectées par les différents services ;
  • Collecter les données de manière loyale.

Sur ce dernier point, la CNIL considère qu’est déloyale la collecte de données des internautes « passifs », notamment par le service Google analytics, dès lors que ces internautes n’en sont pas informés.

 

Un mouvement de fond

Ce combat n’est pas simplement le combat de la CNIL contre Google. Il s’inscrit dans un mouvement beaucoup plus vaste, une tendance de fond qui n’en est vraisemblablement qu’à ses prémices. Celle d’une opposition de plus en plus marquée entre les opérateurs géants d’internet, tous américains, et les autorités de régulation européenne. D’un côté, des géants qui apportent une indéniable valeur ajoutée, qui ont façonné internet pour en faire ce qu’il est aujourd’hui. De l’autre, des États qui, sans renier ces avancées, veulent en encadrer les potentielles dérives et protéger leurs citoyens de machines gigantesques qui peuvent les broyer.

Fin 2012, un Land allemand ordonne à Facebook d’autoriser les pseudonymes. Facebook refuse. Un peu plus tôt, l’Allemagne avait très fermement condamné le nouveau système de reconnaissance faciale mis en place par le réseau social. Bras de fer.

Fin janvier 2013, la justice française exige de Twitter qu’il fournisse les éléments permettant d’identifier les auteurs de tweets racistes qui ont défrayé la chronique. Twitter fait appel et perd. Pourtant, le réseau social refuse toujours de s’exécuter. Bras de fer.

Ce 20 juin, l’Espagne annonce à son tour le lancement d’une procédure contre Google.

Voir aussi notre coup de projecteur : la CNIL à l’assaut des géants du web (en fin d’article)

 

Mais… Pourquoi ?

La CNIL, et le G29 derrière elle, ont un objectif : protéger les données à caractère personnel des individus. Un tel combat n’est pas anodin. La donnée à caractère personnel est rapidement devenue l’une des ressources majeures d’internet, suffisamment enrichissante pour permettre le déploiement de géants à la force de frappe surdimensionnée.

On peut légitimement s’interroger sur les capacités de la CNIL à imposer ses vues à Google. La CNIL ne dispose d’ailleurs pas d’un pouvoir de sanction pécuniaire excédent les 150 000 euros, 300 000 en cas de récidive. On comprend pourtant que le rapport de force est moins déséquilibré qu’il n’y paraît dès lors que c’est l’Europe toute entière qui se mobilise.

Il est peu probable que chacun reste sur ses positions. En la matière, on le sait, il faudra transiger. Quelle que soit l’issue de cette bataille, on doit sans doute se féliciter des réactions européennes. Les puissances en jeu sont trop colossales, leur impact sur nos vies trop importants, pour qu’on puisse se payer le luxe de simplement laisser faire. Un contre-pouvoir à ces géants du net, même s’il se trompe parfois de voie ou de bataille, ne peut-être qu’une bonne chose.