La CNIL sanctionne Google à l’amende maximum
La CNIL sanctionne Google pour non respect de la loi "Informatique et liberté" relative à la protection des données personnelles. L'amende maximum de 150 000 euros a été prononcée, ce qui ne doit pas occulter que les sanctions seront beaucoup plus élevées dans un futur très proche.
La Cnil a annoncé le 8 janvier 2014 avoir prononcé le 3 janvier 2014, une sanction pécuniaire de 150 000 euros à l’encontre de Google pour violation de la loi « informatique et libertés ».La CNIL enjoint également à Google de procéder à la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr dans les huit jours à compter de la notification de la décision.
La CNIL sanctionne ainsi Google principalement pour violation des articles 32-I et 32-II de la loi du 6 janvier 1978 imposant d’informer les personnes concernées sur les finalités du traitement et de l’article 6-5° imposant de définir une durée de conservations en adéquation avec les finalités du traitement.
Google avait décidé de fusionner en une seule politique les différentes règles de confidentialité applicables ses services, incluant Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps …Les règles de confidentialités applicables avait été fusionnées en une seule politique de confidentialité sans base légale définie au regard de la loi informatique et libertés.
La CNIL avait ensuite émis diverses recommandations non prises en comptes par Google, ce qui l’a amené à mettre en œuvre la procédure de sanctions.
Le montant de l’amende reste faible par rapport aux enjeux économiques en cause. Le montant de 150 000 € représente aujourd’hui le plafond de la sanction pouvoir être prononcé par la CNIL. En cas d’intervention d’un juge, la sanction peut être porté à 300 000 €.
L’article 79 de la proposition de règlement européen du 25 janvier 2012 actuellement en discussion au parlement européen prévoit d’élargir les sanctions applicables, à l’instar des sanctions matière de droits de la concurrence, en prévoyant un pourcentage du chiffre d’affaires mondial des entreprises concernées.
Néanmoins, la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr au cours des 8 prochains jours constitue le caractère essentiel de cette sanction et il sera utile de suivre l’obligation de publication qui devra être mise en œuvre par Google.
Les sanctions pécuniaires seront par ailleurs très prochainement renforcées dès l’adoption du Règlement européen.
L’objectif d’une telle évolution est souvent les termes du règlement que la sanction administrative soit « effective, proportionnée et dissuasive ».
L'autorité de contrôle pourra infliger une amende allant jusqu’à 5 % de son chiffre d’affaires annuel mondial (en l’état du texte amendé par le parlement européen), à quiconque, de propos délibéré ou par négligence ne respecteraient pas les obligations du Règlement en matière de protection des données personnelles, comme par exemple :
- ne pas prévoir pas les mécanismes permettant aux personnes concernées de formuler des demandes ou ne répond pas aux demandes.
- ne pas fournir ou de manière incomplète ou non suffisamment transparente des informations aux utilisateurs sur les traitements mis en œuvre.
- ne pas permettre par l’exercice du droit d’accès, du droit d’opposition ou du droit à l’oubli des utilisateurs.
Les sanctions pour violation de la législation relative à la protection des données personnelles seront à l’avenir de nature nettement plus dissuasive, ce qui imposera plus que jamais aux opérateurs d’attacher les plus grandes précautions à leur respect.