Selon les derniers baromètres d’opinion, plus de 70% des européens ont peur de l’utilisation qui est faite de leurs données personnelles. Ce n’est pas l’affaire PRISM qui risque de les rassurer. Tous se sont accordés à dire que ce scandale est un véritable électrochoc qui réanime l’intérêt du public pour le dossier « protection des données personnelles ». Il ne doit cependant pas couvrir d’autres agissements peu louables de certains grands géants du web. Signalons que le Parlement européen a tenu la première réunion de sa commission d’enquête (10 juillet) la prochaine se tiendra le 5 septembre.
Chez les grands adversaires de la protection des données, Google détient une sorte de « leadership » incontestable qui confine à une situation de monopole, d’où l’enquête en cours de la Commission européenne. L’affaire PRISM prend certes une grande partie de l’attention des médias, mais celle-ci ne dissimule qu’à peine les nouvelles affaires dans lesquelles baignent Google Inc. L’entreprise affronte en effet depuis deux ans non seulement l’Union Européenne, mais également de nombreuses Agences de Protection des Données nationales, dont elle ne fait que peu de cas des recommandations et des rappels à l’ordre.
Deux affaires concernant Google sont récemment revenues sur le devant de la scène, alors que le paquet « protection des données » devant remettre au goût du jour les éléments de la directive 95/45/CE, s’enlise au Parlement faute de consensus majeur.
La première confronte Google à la CNIL sur des manquements importants dans des questions de confidentialité. Cette affaire date déjà du 12 Mars 2012. A l’époque les Agences de Protection des données Européennes avaient jugé inquiétante une annonce de Google rendant compte d’une réforme des paramètres de confidentialité, sans en dire plus sur les changements opérés. Réunies sous le nom de « Groupe de Travail G29 », les Agences de Protection Européennes avaient demandé à la CNIL de piloter une enquête européenne sur ce sujet. Google avait refusé de répondre aux questions de l’institution, se montrant étonnamment peu coopérative. La CNIL réussit (non sans une longue et difficile enquête) quelques mois après à conclure que la réforme de Google portait sur la fusion de 60 articles sur la protection des données en un seul, un fait qui pouvait violer quatre principes de la gestion des données en Europe (exposé par la Directive de 1995) : limitation de finalité (incertitude sur l’objectif de l’accumulation de données par Google), qualité et proportionnalité des données assimilées justifiées par la finalité (Google accumule encore à l’heure actuelle des quantités improbables de données sans justification), proportionnalité et enfin garantie du droit d’opposition. La CNIL avait également insisté sur les dangers de la politique de gestion de données de Google pour les « utilisateurs passifs », c’est-à-dire pour les personnes qui n’utilisent pas le moteur de recherche mais certaines applications de Google+ ou subissent l’installation de « cookies » sans leur accord préalable. Ces utilisateurs n’ont pas la possibilité de définir de paramètres de confidentialité du tout, Google reste très flou sur les traitements faits de leurs données, deux faits inacceptable pour l’agence française.
Google avait justifié ces changements par une volonté de rendre les droits des internautes plus clairs. L’excuse n’a pas l’air du goût de la CNIL, qui avait dès lors demandé à l’entreprise d’étudier deux possibilités de pallier à ces manques. Elle avait recommandé tout d’abord que le consentement ou le refus de l’utilisateur quant aux traitements de ses données soit obligatoire et « sectoriel » (un utilisateur dit « oui » ou « non »pour une finalité, et doit redonner son consentement ou son refus pour une autre). Ces consentements ou ces refus devaient permettre ensuite un accès personnalisé aux différentes applications par le seul choix de l’utilisateur.
Google avait environ quatre mois pour étudier ses possibilités, quatre mois pour se mettre à jour par rapport au droit européen… Quatre mois au bout desquels la seule réaction de l’entreprise a été un long silence. Google Inc a même refusé, et continue de refuser, de divulguer à l’agence française la date de conservation des données personnelles.La situation stagnait depuis Mars 2013, date à laquelle le groupe G29 a demandé solennellement, mais en vain, à Google pour la première fois de revoir sa politique d’utilisations des données, et donc d’écouter plus sérieusement les propositions françaises.
Depuis le 20 Juin, la CNIL a relancé l’offensive contre le géant du web. Après quelques mois d’études, l’Agence Française à la protection des données est capable aujourd’hui de défendre clairement que le moteur de recherche enfreint par ses nouveaux paramètres de confidentialité la Loi française Liberté et Numérique du 6 Juin 1978 sur tous les points qu’elle avait déjà souligné. La CNIL redonne donc trois mois à Google pour adopter les exigences européennes, sans quoi des procédures pénales seront enclenchées contre elle. Les autres agences de protections des données d’Europe se sont aussitôt rangés derrière leur consœur française, laissant prévoir le retour d’un combat non plus national mais européen contre le moteur de recherche. L’Allemagne, l’Italie et la Grande-Bretagne, encore dans la phase d’enquêtes, envisagent de plus en plus des recours contre Google, alors que l’Espagne et les Pays-Bas en ont d’ores et déjà proposés.
Le cas espagnol a pris le relais du cas français dans la lutte contre Google, poursuivi en Espagne pour une seconde affaire dans laquelle un utilisateur a demandé la suppression de résultats du moteur de recherche. Une recherche rapide avec son nom et son prénom permet en effet de voir que celui-ci a été obligé de vendre sa maison sur un site de vente de particuliers à particuliers pour couvrir des dettes contractées avec la Sécurité Sociale, alors qu’il a réussi a racheté le bâtiment quelques mois après. Jugeant les résultats de Google discriminant à son égard, il a demandé la protection de l’Agence de Protection des données espagnole, qui a posé plusieurs questions à la Cour de Justice Européenne afin de défendre son client.
Le groupe G29 entendait faire de ce cas espagnol un tremplin dans la lutte contre les géants d’Internet. Au final, le jeu en valait la chandelle : l’affaire aurait pu montrer à l’Europe que le combat contre Google était légitime, et mieux encore souligner des méthodes de recours contre l’entreprise pour faire valoir le droit des citoyens européens. Le verdict de Niilo Jääskinen, avocat général à la Cour de Justice Européenne met malheureusement plutôt en relief la désuétude de la directive de 1995 et l’urgente nécessité d’adopter le paquet protection des données pour lutter contre les abus de certains grands acteurs du web.
Trois questions ont été posées à la Cour de Justice Européenne :
– L’agence espagnole a demandé si elle pouvait utiliser la directive de protection des données de 1995 et le droit national espagnol contre Google sur cette affaire, alors que le siège de Google est aux USA.
– Elle s’est également interrogée sur la capacité de définir Google comme « responsable des données » trouvables sur son moteur de recherche. L’affirmer revient à faire entrer l’entreprise dans la catégorie de « responsable du traitement des données personnelles » qui est passible de sanctions en cas de manquements à la directive.
– Enfin, l’Espagne a demandé s’il y avait existence d’un droit à l’oubli utilisable dès maintenant dans les lois européennes, alors que ce concept doit être explicité dans le prochain paquet protection des données.
Les réponses de Niilo Jääskinen sont claires. Sur la première question, l’avis de la Cour Européenne pense que l’agence de protection des données peut tenter d’utiliser son droit national ou le droit européen puisque Google passe par un associé, Google Spain, situé en Espagne, pour gérer les mots-clés espagnols de son moteur de recherche. Le lien entre les deux entreprises pourrait permettre de former des recours, avec une chance de succès limitée par la pertinence et la formulation du recours cependant.
La deuxième réponse minore très grandement cependant les recours des Agences de protection des données du groupe G29. Pour Niilo Jääskinen. Google n’est pas responsable des données personnelles. L’entreprise ne fait que proposer et gérer un moteur de recherche, elle n’en contrôle donc ni les résultats, ni les affichages de tiers sur son moteur de recherche, et ne fait pas de distinction dans ses résultats entre les données personnelles et le reste des données. On ne peut donc pas demander à Google de retirer des réponses de son moteur, ni même former un quelconque recours quant aux résultats du moteur de recherche. Un verdict qui a de quoi inquiété le G29 qui tentaient de faire pression sur l’entreprise.
Enfin, la troisième réponse confirme que le droit de l’oubli, reposant sur une interprétation large de la Charte des Droits Fondamentaux, n’est pas dans la directive de 95. Par ailleurs, elle risque de ne pas être non plus dans le nouveau règlement, car une bonne partie de la société civile est assez réticente à accepter ce principe défendu par le rapporteur Albrecht dans le texte (notamment les groupes d’intérêts banquiers, qui considèrent que le droit à l’oubli est un moyen un peu facile de donner aux individus le droit de fuir leur responsabilité).
Google considère depuis toujours qu’elle n’a pas à tomber sous le coup du droit européen par la position géographique de ses serveurs, et refuse d’être considérée comme responsable des données de son moteur de recherche. Elle n’aurait donc rien à se reprocher. Le verdict de la Cour de Justice semble plutôt conforter cette interprétation.
L’avocat général a également parfaitement illustré dans son rapport le manque de recours possible contre les abus des entreprises utilisant des données personnelles. Selon la directive de 1995, les seules interventions possibles des Agences ne peuvent concerner que la suppression, la rectification, l’effacement ou le verrouillage de données en cas de données incomplètes ou inexactes, ce qui limite tout de même largement les moyens de protection des données.
Chaque nouvelle péripétie concernant Google ne fait qu’accroître l’urgence de l’adoption du « paquet protection des données », comme le fait justement remarquer Vivianne Reding et quasiment tous ceux qui suivent le dossier. Le nouveau règlement comporte de nombreux nouveaux moyens d’actions pour lutter contre les géants du web réfractaires à l’application du droit européen. Parmi eux par exemple on trouve les possibilités de recours contre les entreprises dans le cas de déni de l’obligation de consentement explicite sur certains domaines, de déni du droit à l’oubli, ou dans le cas de manque de transparence. Le règlement devrait également obliger les entreprises à avoir un protecteur des données chargé de veiller aux droits des citoyens en la matière et contraindre les Etats à offrir un minimum de compétences et d’indépendance aux Agences de Protection des Données. Un deuxième projet de la commission concernant le « cloud computing » permettrait de former des recours contre Google même si l’entreprise est aux Etats-Unis. Toutes les clés du problème Google semblent donc dans les mains des institutions européennes. Reste à rendre les projets effectifs, et donc à persuader le Parlement et le Conseil, qui freinent pour des raisons de points de vue opposées sur le projet, d’accélérer la cadence.
Yoann Fontaine
Pour en savoir plus:
– (EN)Advocate General Jääskinen considers that search engine service providers are not responsible, on the basis of the Data Protection Directive, for personal data appearing on web pages they process.
http://curia.europa.eu/jcms/upload/docs/application/pdf/2013-06/cp130077en.pdf
– Proposition de directive de la Commission
(FR) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:FR:HTML
(EN) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:EN:HTML
– Proposition de Règlement de la Commission
(FR) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf(EN) http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf
– Projet de rapport de Jan Philip Albrecht
(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd (EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd
– Projet de rapport de Dimitrios Droutsas
(FR) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf
(EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/923/923072/923072en.pdf
– Données personnelles : un règlement, une directive, des amendements et du lobbying. Etats des lieux expliqués aux journalistes par le Parlement européen.
– Protection des données personnelles et lobbys : nos droits en danger ?
– (EN) CNIL orders Google to comply with the French Data Protection Act, within three months
-Google conforté par l’avocat général de la Cour de l’UE
http://fr.reuters.com/article/technologyNews/idFRPAE95O02Q20130625
Ping : Le citoyen transparent | Emsisoft Blog