La CNIL multiplie les mises en demeure et les sanctions

Deux sociétés qui viennent de subir le 12 juin dernier les foudres de la Commission Nationale de l’Informatique et des Libertés (CNIL), organe indépendant chargé du contrôle du respect de la loi Informatique et Libertés en France.

Tout d’abord, le géant américain de la recherche sur internet, Google, s’est vu mettre en demeure par la CNIL au titre du droit au déréférencement. Ce droit, qui découle de l’arrêt de la Cour de Justice de l’Union européenne (CJUE) du 13 mai 2014, permet à quiconque dont le nom est cité sur un site internet de demander à Google de supprimer le lien qui peut apparaître parmi les résultats du moteur de recherche, en particulier lorsque cette occurrence n’est pas légitime.

La mise en demeure que la CNIL vient d’adresser à Google porte plus particulièrement sur l’étendue du droit au déréférencement. Alors que Google voulait initialement le limiter à la version du moteur de recherche du domicile du demandeur (google.fr pour la France, etc.), la société de Mountain View (Californie) a accepté de l’étendre à l’ensemble des extensions européennes.

Las, la CNIL considère que le déréférencement doit concerner toutes les extensions du moteur de recherche (y compris, donc, google.com), au motif qu’il n’existerait ici qu’un seul traitement de données à caractère personnel. 

Cette interprétation de la décision de la CJUE, elle-même interprétant le texte de la directive communautaire de 1995 sur la protection des données personnelles, peut paraître excessive. Elle vise au décloisonnement des extensions du moteur de recherche, de telle manière que les résultats d’une requête devraient être peu ou prou les mêmes selon les pays. 

Elle est en tout cas conforme à une recommandation du Groupe de l’Article 29, c’est-à-dire l’ensemble des autorités nationales européennes intervenant en matière de protection des données.

Google n’a pas encore indiqué si elle entendait déférer à cette mise en demeure. Elle dispose d’un délai de 15 jours pour ce faire avant que la CNIL ne prononce une sanction, éventuellement pécuniaire (d’un montant de 150.000 euros).

Aux côtés de Google, c’est la société Prisma Media, éditrice de magazines et de sites internet, qui a elle été sanctionnée par la CNIL. Il lui était notamment reproché un manque de conformité à la loi Informatique et Libertés, au motif que lorsqu’un internaute se rend sur un site du groupe et qu’il demande à s’abonner à une lettre d’information, il ne sait pas exactement quelles sont les newsletters qu’il va recevoir.

De la sorte, le consentement à recevoir les newsletters ne serait pas parfaitement donné par les internautes.

En outre, la CNIL à reproché à Prisma Media de ne pas faire totalement droit aux demandes d’opposition des internautes et conserverait les données pendant des durées excessives. Il est intéressant de noter un point technique, à savoir que, selon la CNIL, la simple ouverture d’une lettre d’information par un internaute ne constitue pas un « contact » au sens de la norme simplifiée n° 48 (Gestion des clients et prospects) qui ferait partir le délai de conservation des données.

Prisma Media a été condamnée à payer 15.000 euros à la CNIL, laquelle a décidé de rendre sa décision publique.

La conformité des pratiques à la loi Informatique et Libertés est aujourd’hui absolument essentielles, la CNIL n’hésitant plus à adresser mises en demeure et sanctions, le cas échéant en communiquant sur ses décisions. 

Cnil