Droit des données personnelles

Depuis 2007, la société Google déploie dans le monde entier des véhicules dits « Google cars » enregistrant des vues panoramiques de lieux parcourus, afin de proposer aux internautes l’application « Street View », un service de cartographie interactive.

L’intérêt pour Google ? Pouvoir améliorer ses services de géolocalisation en cartographiant les points d’accés Wi-Fi1 du territoire français.


Craignant des dérives, la société Google procède en effet à la collecte de données a priori techniques via les réseaux Wi-Fi, la Commission Nationale de l’Informatique et des Libertés (CNIL) a entrepris une série de contrôles sur place dans le but de vérifier la conformité des traitements informatiques utilisés par le service incriminé avec la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée2.


Résultat de l’enquête débutée en 20093, la CNIL constate que les véhicules déployés en France captent et enregistrent non seulement des photographies mais surtout des données personnelles (« accés à des domiciles privés, des images de personnes dont le visage est masqué mais qui reste reconnaissable ») transitant via réseaux Wi-Fi, et ce à l’insu des personnes concernées.


Le 26 mai 2010, la CNIL met ainsi en demeure4 la société Google de cesser toute collecte de données personnelles à l’insu des personnes, l’obligeant à lui fournir une copie de l’intégralité des données captées en France, considérant que le défaut d’information « constitue une collecte déloyale au sens de la loi ». Fondant ainsi sa décision, notamment, sur les articles 6 et 7 de la loi de 1978 qui disposent respectivement que les données à caractère personnel doivent être « collectées de manière loyale et licite » et doivent « avoir reçu le consentement de la personne concernée ».


Après analyse, la CNIL révèle que la société Google enregistre, outre des données techniques, des données personnelles identifiées et identifiables telles que, notamment, des :


-    données de connexion à des sites webs. La CNIL cite l’exemple d’un internaute de Tours se connectant à proximité d’une place publique en accédant à un site de rencontres gay : « son adresse IP sur le réseau interne connecté à son point d’accès a été enregistrée », révélant ainsi sa vie personnelle et son orientation sexuelle.
-    mots de passe de messagerie
-    adresses de courriers électroniques
-    échanges de courriels révélant des informations sensibles de l’ordre de la vie privée et personnelle comme la santé de la personne (la CNIL révèle à ce sujet la captation d’ « un soin prescrit par un professionnel de santé nommément désigné » à proximité d’un clinique de Saint-Etienne) ; ou sa vie sentimentale, comme la situation de personnes cherchant à nouer des relations extraconjugales : « les coordonnées GPS associées à cette requête, identifiées en clair, pointent vers une adresse précise (un numéro de rue dans une ville du département du Rhône), les personnes  concernées sont identifiées par leurs prénoms et leurs adresses de courrier électronique »
-    mais aussi prénoms, noms, adresses postales et numéros de téléphone.
Google soutient alors que cette collecte n’était pas illicite car « non-intentionnelle », arguant de plus que les contenus enregistrés sont « en format binaire, illisible par l’homme » et qu’il n’en a été fait aucun usage. La CNIL a rejeté ces arguments en précisant que « ces données, combinées entre elles, constituent des données à caractère personnel ».


Compte tenu des manquements constatés, de leur gravité et des avantages économiques que retirent la société Google de ces manquements, la formation contentieuse de la CNIL a décidé, le 17 mars 2011, de prononcer à son encontre une sanction pécuniaire de 100 000 euros5.

Cette décision permet de concrétiser un peu plus la puissance d’application de géolocalisation captant des données personnelles, prouvant de multiples violations de la vie privée,  des dispositions de la loi Informatique, Fichiers et Libertés, et présageant d’éventuelles utilisations frauduleuses de ces données (vente à des tiers, mises à disposition,…), légitimant ainsi le verdict de la Commission.


La somme peut sembler dérisoire eu égard le chiffre d’affaire de la société Google (8 ,58 milliards de dollar au 15 avril 20116) mais la médiatisation d’une telle décision contribue à la création d’un impact notable dans la prise de conscience collective de l’importance de la protection des données personnelles. Elle engendre également une onde de choc pour les entreprises spécialisées dans la géolocalisation qui devront désormais redoubler d’attention afin d’éviter de ternir leur image et d’être en conformité avec la loi, rappelant ainsi aux sociétés comme Google que leur hégémonie ne leur autorise pas à se considérer au-delà de la loi française.
La CNIL fait ainsi payer à Google sa légèreté et ses négligences en matière de protection des données personnelles en sanctionnant la société de la plus importante amende prononcée depuis que l’autorité administrative indépendante a obtenu la capacité d’infliger des sanctions financières7.


La société Google s’est engagée depuis à ne plus récolter aucune information relevant des champs des données à caractère personnel et de supprimer les données enregistrées « par erreur » selon elle.  Apaisant dès lors la CNIL,  les organismes de la protection des droits dans le monde, mais aussi le G298 qui s’était inquiété du sujet, les voitures du programme « Street View » ont repris la circulation. Notons que la société Google n’a néanmoins pas définitivement réglé ses différends sur le respect de l’utilisation des données à caractère personnel. En effet, la CNIL remarque que le groupe américain « n’a pas renoncé à utiliser les données identifiant les points d’accès Wi-Fi de particuliers à leur insu ». Il est à noter que la collecte de données personnelles peut s’opérer désormais grâce aux utilisateurs de smartphones9 activant le service de géolocalisation Latitude et partageant à leur insu des données identifiant des points d’accès Wi-Fi.


Nous sommes donc loin d’une conclusion claire et définitive car la société Google n’a pas renoncé, visiblement, à utiliser des données de particuliers à leur insu par le biais, non plus des « Google Cars » mais aujourd’hui de leurs terminaux mobiles. La CNIL précise de plus dans sa délibération du 17 mars 2011 que « les réponses apportées par la société Google […] sont insuffisantes », lui reproche de « contester l’application de la loi française au service Latitude » et d’avoir refusé une déclaration à la CNIL malgré des demandes formulées en ce sens.


Il ne fait donc aucun doute que nous n’en sommes qu’aux balbutiements des procédures d’enquêtes de la CNIL auprès de la société Google en particulier, et des applications de géolocalisation en général. La Commission  ne manquera pas d’être vigilante sur le sort réservé au traitement des données personnelles par ce type d’applications et nous sommes impatients de découvrir les prochaines positions de la CNIL qui prendront sûrement une nouvelle orientation dans les mois à venir.

 

 


 

1 Un réseau Wi-Fi permets de relier sans fil plusieurs appareils informatiques (ordinateur, routeur, décodeur internet,...) au sein d'un réseau informatique afin de transmettre la transmission de données entre eux.

2 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20110824

3 http://www.cnil.fr/la-cnil/actu-cnil/article/article/la-cnil-dans-la-roue-du-velo-de-street-view/

4 http://www.cnil.fr/la-cnil/actu-cnil/article/article/street-view-la-cnil-met-en-demeure-google-de-lui-communiquer-les-donnees-wi-fi-enregistrees/

5 Délibération CNIL n° 2011-035 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc. :http://www.cnil.fr/la-cnil/actu-cnil/article/article/street-view-la-cnil-met-en-demeure-google-de-lui-communiquer-les-donnees-wi-fi-enregistrees/

6 http://www.pcinpact.com/actu/news/63115-google-chiffre-affaires-8-58-milliards-dollars.htm

7 Art. 45 de la la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée : http://www.cnil.fr/en-savoir-plus/textes-fondateurs/loi78-17/#Article45

8 L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales. Cette organisation réunit l’ensemble des CNIL européennes

9 Téléphones mobiles disposant des fonctions d'un assistant numérique personnel. Peuvent  fournir les fonctionnalités d'agenda, de calendrier, de navigation sur le web, de consultation de courrier électronique, de messagerie instantanée, de GPS,… .

 

Autres Actualités

+
d'actualités
juridiques
Droit des TICDroit des médiasDroit de l'informatiqueProtection de la vie privéePropriété intellectuelle

Nos Formations Solution CIL