Confidentialité : la CNIL donne trois mois à Google pour se conformer à la loi

La Commission nationale de l'informatique et des libertés (CNIL) tape une nouvelle fois du poing sur la table à propos de la politique de confidentialité de Google. L'autorité administrative accorde trois mois à l'entreprise pour se mettre en conformité avec la loi « informatique et libertés », qui définit notamment les règles de protection des données personnelles.

Extrait de la vidéo de présentation des nouvelles règles de confidentialité de Google

La CNIL avait ouvert une enquête au printemps 2012 sur la nouvelle politique de confidentialité de Google, qui avait unifié ses multiples règles en deux documents et regroupé les informations utilisateurs éparpillées sur ses différents services. Face à l'absence de réaction de la firme, les différentes autorités de protection européennes se sont depuis saisies de l'affaire.

Aujourd'hui, la CNIL « [confirme] les manquements de Google au regard de la loi "informatique et libertés", qui conduisent, concrètement, à ce que l’utilisateur ne soit pas en mesure de connaître l’utilisation qui peut être faite de ses données et de la maîtriser. »

Et de donner trois mois à Google pour :

- Définir des finalités déterminées et explicites afin de permettre aux utilisateurs d’appréhender concrètement les traitements portant sur leurs données à caractère personnel ;
- Procéder à l’information des utilisateurs en application des dispositions de l’article 32 de la loi « informatique et libertés », en particulier s’agissant des finalités poursuivies par le responsable des traitements mis en œuvre ;
- Définir une durée de conservation des données à caractère personnel traitées qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées ;
- Ne pas procéder, sans base légale, à la combinaison potentiellement illimitée des données des utilisateurs ;
- Procéder à une collecte et à un traitement loyal des données des utilisateurs passifs, en particulier s’agissant des données collectées via les cookies « Doubleclick », « Analytics », les boutons « +1 » ou tout autre service Google présent sur la page visitée ;
- Informer les utilisateurs puis obtenir leur accord préalable avant d’installer des cookies dans leurs terminaux, notamment.

Mountain View a donc du pain sur la planche pour échapper à une sanction. L'amende infligée par la CNIL ne peut pas dépasser 300 000 €. Une bagatelle pour l'entreprise qui a enregistré un chiffre d'affaires de 50 milliards de dollars l'année dernière. Consciente de cette situation, la présidente de la CNIL, Isabelle Falque-Pierrotin, a jugé que « Google sera surtout victime d'une sanction médiatique ».

D'autres autorités de protection européennes ont également pris des mesures. L'Espagne va ouvrir une procédure de sanction, Hambourg en Allemagne a lancé une procédure formelle qui peut déboucher sur une obligation, l'Italie attend une réponse de Google et le Royaume-Uni étudie la conformité de sa politique.