Fait marquant de l’actualité, Google a été condamné il y a quelques semaines par la CNIL. Quelle analyse peut-on faire de cette décision ?
Google a été mis en demeure par la CNIL en raison de plusieurs manquements à la loi du 6 janvier 1978 modifiée. Pour autant, la sanction prononcée (qui n’équivaut qu’à 0,0003 % du chiffre d’affaires mondial de Google en 2012) s’apparente finalement plus à l’octroi d’un laisser passer qu’à une mise en garde à toutes les organisations manipulant des données à caractère personnel. En effet, au regard de la multiplicité des facteurs aggravants (nombreux écarts à la loi sur des traitements sensibles, nombre de clients concernés, non coopération de Google), une telle condamnation peut paraître rassurante pour une organisation « plus classique », qui ne craindra alors que des sanctions minimes.
Toutefois, l’autre versant de la sanction, la publication de la décision sur google.fr et ce pendant 48 heures, est certainement une plus grande victoire. Au-delà de la bataille financière, difficile à gagner sans décisions européennes communes et convergence des sanctions, la bataille médiatique a elle certainement été remportée par la CNIL. L’information a été massivement relayée par la presse et Google a cherché, à l’aide d’un recours en référé devant le Conseil d’État, à démontrer que cela lui porterait un préjudice irréparable (ce qui n’est certainement pas le cas de la sanction financière).
En définitive cette sanction, de par ses deux volets (financier mais surtout médiatique), a le mérite d’avoir mis en lumière le non-respect de la loi Française par Google. Elle s’inscrit ainsi dans la démarche pédagogue de la CNIL.
Espérons enfin qu’avec le futur règlement européen et ses sanctions à hauteur de 2% du CA mondial de l’entreprise, les autorités européennes pourront également rééquilibrer la balance entre sanction médiatique et sanction financière.
Cette condamnation met effectivement en lumière la nécessité des prochaines évolutions réglementaires. Concernant le futur règlement européen, un point essentiel est le principe dit du « guichet unique ». Que pensez-vous de cette volonté de simplification des procédures ?
Le principe dit du « guichet unique » a pour vocation de simplifier les démarches des citoyens (une seule autorité de contrôle serait compétente pour contrôler/sanctionner un traitement, même transfrontalier), en désignant un unique interlocuteur de référence.
Mais ce guichet unique devrait également permettre de garantir une application cohérente, pour tous les citoyens et quel que soit les pays, du futur règlement.
Or, les autorités de contrôle sont aujourd’hui disparates en termes d’historique, d’effectifs, de modes de fonctionnement et de maturité vis-à-vis de la protection des données à caractère personnel. Le projet actuel entrainera donc une possible hétérogénéité dans l’application de la loi (chaque pays ayant son interprétation des textes en fonction de son historique) voire un transfert des traitements dangereux vers les autorités les plus tolérantes.
À défaut de mettre en œuvre une autorité unique européenne, et plutôt que de concentrer la responsabilité sur une unique autorité nationale, mettre en place un système de coopération entre les autorités semble répondre aux enjeux et à l’ambition du règlement. Ainsi, il me semble plus opportun de mettre en œuvre le guichet unique au niveau de l’autorité nationale du citoyen concerné par le traitement, laquelle aurait alors pour charge de se coordonner avec la / ou les autorités concernées par le traitement et de piloter la codécision. Cela simplifierait réellement les démarches pour les citoyens, favoriserait l’homogénéisation au niveau européen et éviterait toute tentation de « forum-shopping »
Quels sont pour vous les autres points du futur règlement qui permettraient de faire évoluer positivement le traitement des données à caractère personnel ?
Si je ne devais en citer que trois, je pense tout d’abord à l’obligation de désignation d’un DPO (Data Privacy Officer), futur équivalent du CIL. Le principe d’accountability permettra lui de passer d’un modèle déclaratif à un modèle démonstratif (de la preuve), à même de favoriser la coopération (plutôt que la sanction) entre les autorités de contrôles et les entreprises. Enfin, l’obligation de notification des failles de sécurités aux autorités de régulations, qui devrait pour sûr encourager toutes les organisations à anticiper leurs crises « données personnelles ».
En définitive, selon vous, qu’est ce qui aurait changé dans la condamnation de Google avec le nouveau règlement ?
Un montant de sanction bien plus conséquent, et donc plus dissuasif !
Mais à mon sens, la sanction ne peut tout résoudre. La coordination des autorités nationales en vue de faire évoluer les pratiques de Google y participerait tout autant. Une sanction européenne commune ou à minima coordonnée, plutôt que plusieurs sanctions locales, aurait permis à la position européenne d’être plus claire.
C’est, selon moi, ce qui change fondamentalement avec ce nouveau règlement : un renforcement des autorités nationales et une volonté de les faire collaborer afin de faire progresser la protection des données à caractère personnel.
