La CNIL ne cesse, ces derniers mois, d’œuvrer en faveur de la protection des données personnelles des internautes sur la toile ; Google en a d’ailleurs fait les frais récemment.

1)    La Recommandation du 5 décembre 2013 relative aux cookies

Lorsqu’un internaute navigue sur Internet ou lorsqu’il utilise une application mobile, sa navigation est analysée par les différents acteurs du Web. Ce traçage est réalisé par l’intermédiaire de différentes technologies, dont la plus répandue est celle des cookies : il s’agit de témoins de connexion déposés sur le disque dur des internautes par le serveur des sites qu’ils visitent.

Selon une Directive européenne de 2009 transposée en droit français par une ordonnance de 2011, le dépôt et la lecture d’un cookie nécessitent, sauf exception, le consentement préalable de l’internaute. C’est ce que l’on appelle « l’opt-in ». Les cookies qui nécessitent un tel recueil du consentement sont notamment :

–      ceux liés aux opérations de publicité ciblée,

–      ceux générés par les boutons de partage sur les réseaux sociaux (comme le « j’aime » de Facebook),

–      certains de ceux utilisés pour mesurer l’audience des sites web.

Dans sa Recommandation du 5 décembre 2013, la CNIL conseille de mettre en place une procédure de recueil du consentement en deux étapes :

ETAPE 1 – Information de l’utilisateur : l’internaute doit être informé par l’apparition d’un bandeau d’information :

–      des finalités précises des cookies utilisés,

–      de la possibilité de s’y opposer et de changer les paramètres en cliquant sur un lien,

–      du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.

Ce bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation.

ETAPE 2 – Page  » en savoir plus  » : le bandeau doit contenir un lien  » En savoir plus / paramétrer les traceurs « , permettant aux internautes de refuser l’insertion des cookies dans leur disque dur.

Enfin, les cookies ne doivent pas avoir une durée de vie supérieure à 13 mois après leur premier dépôt. A l’expiration de ce délai, le consentement de l’internaute devra être recueilli de nouveau.

Attention : les opérateurs du Web avaient jusqu’au 12 février 2014 pour appliquer cette Recommandation. Le non-respect des obligations qu’elle comporte peut donner lieu à des sanctions administratives, dont une amende pouvant aller jusqu’à 150 000€ ou 300 000€ en cas de récidive.

2)    La condamnation de Google du 3 janvier 2014

En 2012, Google a décidé de fusionner les règles de confidentialités applicables à une soixantaine de ses services en un seul document. Estimant que les conditions de mise en œuvre de cette politique unique sont contraires aux exigences de la loi « Informatique et Libertés », la formation restreinte de la CNIL a adopté le 3 janvier 2014 une délibération de sanction, où elle retient notamment que :

–      Google n’informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles, étant précisé que ces informations sont essentielles pour permettre aux internautes de comprendre les conditions dans lesquelles leurs données sont collectées et traitées, de même que pour exercer effectivement leurs droits d’accès, d’opposition et de rectification de ces données.

–      Google ne respecte pas l’obligation de définir une durée de conservation précise des données, qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles dont collectées et traitées, en fonction des finalités poursuivies par les différents traitements mis en œuvre.

–      Enfin, Google procède sans autorisation à la combinaison des données qu’elle collecte via l’ensemble de ses services.

Ainsi, contrairement à ce que soutenait Google, la CNIL retient que la loi française s’applique aux traitements des données personnelles des internautes résidant en France.

Outre une sanction pécuniaire s’élevant à 150 000€, elle a ordonné l’insertion sur le site « www.google.fr » d’un communiqué faisant mention de sa décision. Le 14 janvier 2014, Google a sollicité la suspension de cette mesure d’insertion devant le juge des référés du Conseil d’Etat. Toutefois, considérant que Google ne justifiait pas d’éléments de nature à établir qu’une telle mesure lui causerait un préjudice irréparable résultant  de l’atteinte qui serait portée à sa réputation, celui-ci a rejeté cette demande par ordonnance en date du 7 février 2014.

Reste désormais le recours au fond diligenté par Google, qui demeure pendant devant le Conseil d’Etat. Affaire à suivre…

Maître Laetitia Sebaoun

Avocat à la Cour