Une affaire peut en cacher une autre…
Le bruit médiatique provoqué — avec juste raison — par l’arrêt de la CJUE à l’encontre de Google Spain le 13 mai dernier a presque fini par faire oublier les autres affaires qui ont opposé le géant de Mountain View aux autorités de l’Union européenne.
Des sanctions à ne pas oublier
Rappelons donc qu’en 2013 et 2014 des autorités de protection des données de l’Union (la Cnil ou ses homologues) ont été amenées à prendre des sanctions à l’égard de la politique de confidentialité des données personnelles pratiquée par Google à l'égard des utilisateurs de ses divers produits et services.
C’est ainsi que la Cnil a condamné Google à 150 000 € de sanction pécuniaire le 3 janvier 2014 pour défaut de respect de la loi sur la protection des données personnelles (notre actualité du 16 janvier). Le montant de cette sanction représente d’ailleurs — aujourd’hui encore — la plus forte sanction jamais prononcée par la Commission depuis sa création.
Action collective du G29
Cette fois-ci c’est le Groupe de travail de l’article 29 de la directive (dit G29) qui dans son ensemble a adressé le 23 septembre des lignes directrices très précises qu’elle conseille fortement à Google de respecter si l’entreprise souhaite ne pas se retrouver une fois de plus sanctionnée par une des autorités de protection des données.
Des injonctions très fermes
Deux documents sont ainsi parvenus au siège de Google Inc. en Californie.
D’une part une lettre de la présidente du G29, Isabelle Falque-Pierrotin, également présidente de la Cnil, invite "au nom du G29" Google à se conformer à la législation européenne sur la protection des données.
"Google doit faire face à ses obligations à l'égard du cadre légal européen et national de la protection des données et doit déterminer les moyens d'atteindre ces exigences légales" est-il notamment précisé dans cette missive en anglais (traduction Les Infostratèges).
"Dans le but de guider Google dans cet effort de mise en conformité, le Groupe de travail de l'article 29 a mis au point des directives contenant une liste commune des mesures que votre entreprise pourrait mettre en œuvre" lit-on encore dans le même document.
Des lignes directrices très détaillées
S’ensuivent 6 pages de lignes directrices annexées au courrier.
Celles-ci s’articulent autour de trois axes :
- Obligation d’information des internautes
- Contrôles de l’utilisateur
- Politique de conservation des données
Il est remarquable de noter avec quelle précision juridique et technique les recommandations du G29 sont formulées, entrant souvent dans les détails techniques, émaillés d’exemples concrets de solutions possibles. Ceci témoigne de la double maîtrise des aspects juridiques et informatiques des autorités de protection des données des pays de l’Union, interlocutrices de Google et des opérateurs du Web en général.
En savoir plus
Lire le communiqué de la Cnil sur son site, en date du 25 septembre 2014 rappelant les jalons du contentieux et donnant accès aux documents évoqués ci-dessus :
www.cnil.fr/nc/linstitution/actualite/article/article/politique-de-confidentialite-de-google-le-g29-propose-un-pack-de-conformite/
Télécharger :
La lettre de la présidente du G29 à Larry Page (en anglais, pdf, 98 ko) :
http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140923_letter_on_google_privacy_policy.pdf
Les lignes directrices annexées à la lettre (en anglais, pdf, 219 ko) :
http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140923_letter_on_google_privacy_policy_appendix.pdf
Suivre les actualités sur la Protection des données à caractère personnel sur le site de la Commission européenne (sous-site dédié, version française) :
http://ec.europa.eu/justice/data-protection/index_fr.htm