La Cnil prépare une sanction contre Google. Pour quel montant ? (màj)

Par Olivier Robillart

le 02 octobre 2013 à 12h11

L'autorité chargée de la protection des informations personnelles fait un nouveau pas en direction d'une sanction à l'encontre de Google. La Cnil reproche à la firme d'avoir mis en place des paramètres de confidentialité permettant trop facilement le croisement des données personnelles.

La Cnil « va désigner un rapporteur aux fins d'engager une procédure formelle de sanction, telle que prévue par la loi Informatique et Libertés ». Dans un communiqué, la commission signifie à Google que le délai de 3 mois pendant lequel la firme devait répondre à ses préoccupations concernant les paramètres de confidentialité est atteint.

De son côté, Google dit contester le raisonnement de la Cnil et considère que le fait que la loi Informatique et Libertés puisse s'appliquer à ses propres outils, même s'ils sont utilisés par des résidents en France.

L'autorité s'engage donc désormais sur une voie offensive puisqu'elle devrait, si Google ne modifie pas sa position, sanctionner financièrement la firme américaine. En principe, selon les textes réglementaires, elle peut infliger une amende allant jusqu'à 150 000 euros maximum. Toutefois, la Cnil, agissant au nom du G29, un organisme regroupant l'ensemble des autorités européennes de protection des données, pourrait tenter de sanctionner plus durement le géant américain.

Le G29 réfléchirait ainsi à un moyen de faire reconnaître non pas une seule infraction aux règles sur les données personnelles mais plusieurs. Chaque infraction serait ainsi constatée pour chaque utilisateur et l'amende serait donc ainsi multipliée par plusieurs millions. Le montant de l'amende serait donc mécaniquement plus élevé.

Il sera toutefois intéressant de savoir par quel levier juridique la Cnil sanctionnera Google et quels seront les fondements avancés. En attendant, elle liste les points qu'elle considère comme étant problématiques et demande à la firme de :

Définir des finalités déterminées et explicites.
Procéder à l'information des utilisateurs sur les finalités des traitements.
Définir une durée de conservation des données à caractère personnel traitées.
Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs.
Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs.
Informer les utilisateurs puis obtenir leur accord préalable avant d'installer des cookies dans leurs terminaux.

Mise à jour le 02/10/2013 à 12h11

La Cnil ne devrait pas infliger d'amende d'un montant supérieur à ce que lui permet ses statuts. Interrogée par Le Monde, l'autorité précise que la loi nationale doit s'appliquer pour chaque organisme. La Cnil ne peut donc pas infliger d'amende pour des activités de Google situées hors de France.

Le raisonnement et les bases juridiques d'une super-amende ciblant une infraction en fonction du nombre d'utilisateurs semblaient en effet difficiles à tenir. Toutefois, les amendes sanctionnant de telles entreprises pourraient être alourdies à l'avenir, notamment dans le cadre du projet de règlement européen relatif à la protection des données personnelles. Le texte prévoit à ce titre de condamner un professionnel à régler une amende « d'un million d'euros ou allant jusqu'à 2% du chiffre d'affaires annuel global ».

Publication initiale le 27/09/2013 à 18h03