Données privées: Google a 3 mois pour se plier au droit français

La Commission nationale française de l'informatique et des libertés (CNIL) a donné jeudi au géant américain Google trois mois pour se mettre en conformité avec la loi française en matière de protection des données, sous peine de sanction financière.

Cette mise en demeure résulte d'un processus entamé en octobre 2012 par les 27 autorités européennes de protection des données qui ont déjà, d'une voix commune, sommé le groupe de se mettre en conformité avec la directive européenne Informatique et Libertés.

Cette fois-ci, c'est la CNIL seule en son nom qui assigne le géant de l'internet.

Objet du contentieux, la nouvelle politique de confidentialité de Google qui a fusionné en mars 2012 une soixantaine de règles d'utilisation en une seule, regroupant ainsi les informations de plusieurs services autrefois séparés, comme la messagerie Gmail et le réseau communautaire Google+.

«Google n'est toujours pas en conformité au regard du droit national», résume à l'AFP Isabelle Falque-Pierrotin, présidente de la CNIL qui a identifié «une série de manquements» qui font que l'utilisateur «n'est pas en mesure de connaître l'utilisation qui peut être faite de ses données et les maîtriser».

Le groupe américain s'est borné à répéter, au mot près, le commentaire dont il fait état depuis le début du contentieux.

«Notre politique de confidentialité respecte la loi européenne et nous permet d'offrir des services plus simples et plus efficaces. Nous nous sommes pleinement impliqués tout au long des échanges avec les autorités de protection des données, et nous continuerons à le faire», selon un porte-parole de Google.

La CNIL demande au groupe, sous trois mois, de faire état de la «finalité» des données personnelles que l'entreprise collecte lorsqu'un internaute utilise ses services ou surfe sur son moteur de recherche, des informations aujourd'hui «trop imprécises et floues».

Le groupe doit également définir une «durée de conservation» de ces données, et instaurer une base légale afin d'éviter «une combinaison potentiellement illimitée des données».

«Pas une croisade contre Google»

La CNIL demande aussi que les utilisateurs soient «informés» et que leur accord préalable soit obtenu «avant d'installer, dans leurs terminaux notamment, des cookies», ces petits fichiers mouchards qui suivent l'internaute à la trace et permettent de cibler finement la publicité.

Et si au terme des trois mois Google n'apporte pas les modifications demandées, la CNIL «pourra alors enclencher la phase de sanctions financières», indique sa présidente.

En France, ces sanctions peuvent s'élever à un maximum de 150 000 euros. Mais un montant supérieur est prévu par les législations d'autres pays, comme en Espagne où la sanction maximale est de 1 million d'euros.

La CNIL indique avoir été en contact «à plusieurs reprises» avec Google et avoir auditionné au mois de mars ses représentants, «qui ont dit qu'ils allaient remédier aux manquements».

«Mais à ce stade, nous ne pouvons plus nous contenter de promesses, nous voulons des faits, et une mise en demeure déclenche une horloge. Ce n'est pas une croisade contre Google, mais la transparence doit aussi s'appliquer à eux. Nous voulons que Google lève le voile sur la galaxie qu'il représente, et dont ses clients n'ont absolument pas conscience», conclut Mme Falque-Pierrotin.

Jeudi également, l'autorité de protection des données espagnole devrait notifier à Google sa décision «d'ouvrir une procédure de sanction pour violation des principes fondamentaux de la législation espagnole».

La CNIL indique également que les autorités néerlandaises, italiennes, britanniques et allemandes «poursuivent leurs investigations dans le cadre de leurs procédures respectives».