D’abord, elle traduit l’émergence de nouveaux rapports de force qui s’immiscent sur le terrain de la loi informatique et libertés, les Autorités nationales de protection étant de moins en moins enclines à se faire ouvertement marcher sur les pieds, l’influence du nouveau projet de règlement aidant certainement.
Ensuite, elle révèle que Google est insuffisamment préparé à ces changements et ne semble pas réaliser le nouveau paradigme qui vient de transfigurer ces questions. Tout se passe comme si l’entreprise considérait ces problématiques de vie privée à l’aune de la directive de 95, comme une question subsidiaire et lancinante, à l’heure où il faut maintenant l’analyser au regard du règlement européen, et où l’on doit anticiper des sanctions dépassant le milliard d’euros.
Déconsidérer ces aspects est certainement encore chose commune, mais ce n’est pas le reproche réel qui lui est fait dans cette affaire – qui tient plus au discrédit public jeté sur les institutions en charge du respect de ces lois : le regard avilissant du privé – trop bien loti pour pouvoir être excusé de ne pas feindre les marques élémentaires d’allégeance ; des acteurs publics maintenant solidement fédérés et trop heureux de pouvoir juger le regard désinvolte d’un étranger au système, qui vient bousculer le traditionalisme européen autant que français. Et pour finir un Gouvernement qui ne rate évidemment pas si belle occasion d’occuper l’espace médiatique avec des effets d’annonce pour le moins obscurs voire même honnêtement vaporeux. Voilà un beau conflit d’apparat, où ce qui compte est la transgression de la norme de droit autant que l’audace irritante que porte parfois le sceau du succès.
Google doit anticiper maintenant des sanctions potentielles dépassant le milliard d’euros
Mais, la volée de bois des CNIL européennes – si elle est certainement justifiée sur le plan légal – n’est cependant ici que la partie visible d’un gigantesque iceberg de données personnelles extrêmement sensibles qu’archive Google et jusqu’ici resté pratiquement ignoré par la CNIL (v. II ci-après).
De confrontations en confrontations, on observe donc aujourd’hui cette entreprise structurer et fédérer progressivement contre elle un lot d’intérêts communs qui pourraient mener à l’émergence d’un nouveau droit des moteurs de recherche (avec dernièrement cette proposition de loi qui vise à interdire Street View). Décryptons les clés de ce conflit passionnant !
I – Le point de départ du conflit
Le 1er mars 2012, Google change les conditions d’utilisation de ses services afin de pouvoir grouper l’ensemble des informations traitées. En deux mots l’objectif est de pouvoir fusionner informatiquement les données traitées, c’est-à-dire, prendre des informations du compte Gmail, pour afficher des publicités sur Youtube et affiner cela avec les recherches effectués sur Google.fr. Ou encore permettre à vos Google Glasses de vous alerter quand vous devez partir pour un rendez-vous et qu’un embouteillage bloque le bas de votre rue (basé sur des informations tirées de votre calendrier, votre localisation et l’analyse du trafic automobile en temps réel).
Les griefs de la CNIL
D’un point de vue informatique et libertés, ce regroupement de traitements s’appelle une interconnexion de fichiers, cette opération est évidemment réglementée, et ne peut normalement avoir lieu qu’avec l’autorisation de la CNIL (article 25 de la loi informatique et libertés). Dans sa conférence de presse la Commission n’a pas dit si une telle autorisation avait été acquise (le fait de ne pas l’avoir fait est un délit pénal – art. 226-16 c. pen.), mais à la limite qu’importe car elle semble avoir accumulé suffisamment de griefs au rang desquels:
La CNIL a fait un excellent travail de régulation qu’il convient de saluer
- l’absence de limitation de finalité quant au traitement ;
- la disproportionnalité de la collecte ;
- l’absence de droit d’opposition ;
- le défaut d’information quant au traitement.
Mandatée par le G29, la CNIL a de son côté fait un excellent travail, qu’il convient ici de saluer. Il y a derrière cette action une volonté qui honore, et un rôle parfaitement assumé de régulation.
Assez peu satisfaite de la collaboration de Google (« Google a eu un niveau de coopération ‘moyen’ » et_ _« a répondu aux questionnaires mais, dans un certain nombre de cas, d’une manière vague et imprécise », nous dit sa Présidente) la Commission a menacé de sanctions. Ce à quoi Google a répondu évidemment que : « We are confident that our privacy notices respect European law » (non sans espièglerie on notera évidemment qu’il n’est pas dit pas que les services respectent le droit européen, mais que seules les notices y sont conformes…).
Les challenges de Google
Le moins que l’on puisse dire c’est que Google a maintenant de véritables challenges à résoudre (et quelques mois seulement pour y faire face). N’en plaise aux responsables qui affirment le contraire : il suffit de se rendre sur Google.fr pour constater des contrariétés à la loi. La plupart sont très communes (absence de mentions légales et défaut d’information et d’autorisation acquise pour placer et accéder aux cookies sur le navigateur de l’utilisateur – qui sont au passage deux infractions pénales). Un travail considérable devra sans doute être mené à ce titre.
Il faut dire toutefois que l’attitude de Google sur ce terrain est la conséquence directe du laxisme de la CNIL côté sanctions.
L’attitude de Google qui gère des risques plutôt que de se mettre en conformité est la résultante directe d’une politique de sanction défaillante
Les entreprises raisonnent en effet – et à raison, bien que cela soit l’objet de critiques légitimes – en termes de gestion de risques. Alors, pourquoi compromettre les services futurs de l’entreprise alors que le risque juridique réel en pratique n’est qu’une (petite) amende et un peu de mauvaise publicité, qui, à l’échelle du temps, seront vite oubliées ?
Et pour autant ce n’est pas faute pour la CNIL de disposer de pouvoirs de sanction réellement contraignants.
La CNIL peut enclencher des sanctions très lourdes…
Dans la réalité juridique (et ce point a été largement oublié dans la conférence de presse ce qui est dommage), les choses sont très différentes de ce qui a été annoncé, car la CNIL a à sa disposition des pouvoirs de sanction considérables, entre autres, la possibilité d’imposer par voie judiciaire l’interruption des traitements illicites et l’effacement des données traitées illégalement (art. 226-22-2 du code pénal) :
La CNIL a le pouvoir de faire interdire l’interconnexion des fichiers et de faire effacer les données collectées par Google
Dans les cas prévus aux articles 226-16 à 226-22-1, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné.
Bien que personne ne semble le réaliser chez Google, la potentialité de la menace devrait être suffisamment convaincante pour susciter un vent de panique; cela quand bien même il reste peu vraisemblable en pratique que la CNIL se lance dans une telle action.
En effet, envoyer un pavé dans une marre et défendre sa dignité médiatique est une chose très différente que de prendre ce pavé en main et marcher droit vers son détracteur avec la ferme intention d’en découdre définitivement. Il y a dans ce dernier élan une énergie animale, de vie, de vaincre, et de se lancer quelle que soit l’issue de la bataille qui fait structurellement défaut aux institutions.
Le conflit restera donc réglementé, essentiellement médiatique et empreint de la bienséance usuelle qui anime l’esprit de la Commission.
II – Les dangers du Big data et des données sensibles de Google
Le problème de cette affaire tient à ce que les reproches faits à Google sur le terrain de la protection des données personnelles sont vraiment mal cadrés avec la réalité pratique des choses. Certains services offerts au public posent en en effet des problèmes considérables en termes de droits et libertés des personnes, alors que ceux-ci semblent avoir été omis de l’analyse qui a été faite. Ainsi, le point le plus critique – qui semble avoir totalement échappé à la CNIL – reste le service de Google Groups, qui se fait très discret, mais qui archive et met à disposition l’ensemble des discussions postées dans les Newsgroups… depuis 1981 !
Or parmi ces discussions se trouvent des données extrêmement sensibles : données de santé, données relatives à des condamnations pénales, etc. Quelques clics suffiraient par exemple pour se constituer des listes noires de personnes séropositives, récupérer leurs noms, leurs prénoms, parfois leur adresse email ; même chose pour ce qui concerne des personnes ayant fait l’objet de condamnations pénales : une belle opportunité de constituer des casiers judiciaires privés…
Ce à quoi on peut répondre que publier des messages dans les forums publics est certainement une chose qu’il faut assumer. Et c’est sans doute vrai aujourd’hui. Cependant, deux problèmes se posent ici : d’abord personne n’a vraiment été clairement informé de cet archivage et de la mise à disposition de ces informations sur le Web, ce qui rend extrêmement difficile l’exercice du droit d’opposition à ce traitement (et encore si Google y donne suite). Ensuite, le problème tient à ce qu’avant l’an 2000, les Newsgroups étaient destinés à un nombre très restreint de personnes ; ainsi, de 1981 à 1998, Internet avait un caractère quasiment confidentiel et était très loin de la reconnaissance publique que ce réseau connait aujourd’hui. Les discussions concernaient quelques dizaines de personnes tout au plus et conservaient un caractère pratiquement privé. Quand on poste dans certains Newsgroups en 1996 c’est un peu comme si on allait aux Alcooliques Anonymes. Et la mise à disposition publique de ces informations sur le Web fait à peu près le même effet que si les utilisateurs d’un forum Minitel retrouvaient leurs discussions archivées en clair 20 ans après sur Internet : pour certains, une très mauvaise surprise.
Google Groups archive et met à disposition des données extrêmement sensibles sans contrôle apparent de la CNIL
On peut trouver parmi ces messages une diversité d’exemples frappants ; pour n’en prendre qu’un, on citera simplement celui de cette une personne qui écrivait en 1996 « Employé (…) seropositif depuis 1985 je combats les discriminations dont j’ai été victime au sein de mon entreprise » , toujours disponible en 2012… Le moins que l’on puisse dire est que Google ne facilite pas le droit à l’oubli ! Les dérives potentielles des mésusages de ce service sont évidemment nombreuses : l’employeur qui peut maintenant chercher CV, adresse et… séropositivité ! Ou encore : condamnations pénales, activités syndicales, sans oublier les préférences sexuelles…. Evidemment l’on trouve ce type de message pour absolument toutes les données sensibles mentionnées par la loi informatique et libertés : données de santé (sida, cancer, maladies vénériennes…), données liées à la religion, à la politique (gauche, droite, communiste, extrême droite, écolo, bref, on en passe…), et évidemment tous les détails de la vie sexuelle des personnes.
La légalité du traitement de ces données sensibles
La question est donc de savoir ce qu’il en est de la légalité d’un tel traitement.
D’un point de vue juridique, il s’agit d’un traitement de données sensibles qui est très strictement encadré par la loi informatique et liberté. L’article 8, en effet, n’autorise le traitement de ces informations que dans des [cas très précis et circoncis ; en particuliers deux que Google pourrait invoquer :
**1° **Les traitements pour lesquels la personne concernée a donné son consentement exprès (…)
4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
Juridiquement, néanmoins, trois points invitent à penser que ces exceptions ne peuvent pas jouer pour justifier le traitement de ces données sensibles :
- tout d’abord, il est douteux que l’exception 1° puisse être invoquée en raison du caractère implicite du consentement. En effet, la loi exige que le consentement au traitement des données sensibles soit exprès et non implicite ; en cela il est peu vraisemblable qu’un juge accepte de considérer que la simple action de poster ces informations dans un forum de discussion emporte également un consentement exprès de la personne de laisser Google archiver ces informations sur le Web et de les mettre à disposition sans aucune limitation de durée.
- Ensuite il est également douteux que l’exception 4° puisse être valablement invoquée, car celle-ci impose que les données aient été rendues publiques par l’intéressé. Or ce point est précisément discutable en raison de la nature quasi-privée des newsgroups, antérieurement à 1998. Mais cette question peut légitimement être discutée et il existe certainement d’excellents arguments à mettre en avant. Toutefois cette dernière exception est limitée par un troisième point.
- En effet, et enfin, dans ces deux cas, l’article 8 reste très clair sur l’étendue de ces exceptions et impose que celles-ci ne puissent être invoquées que « dans la mesure où la finalité du traitement l’exige« . Or, on ne voit pas très bien en quoi la finalité du traitement (c’est-à-dire mettre à disposition les newsgroups sur le Web) exige réellement de diffuser des données sensibles sans information expresse des personnes et sans aucune limitation de durée, alors même qu’elles sont susceptibles de porter gravement atteinte aux droits des personnes.
Mais prenons un peu de recul et à la limite, admettons qu’avec un brillant travail d’argumentation il soit possible de le discuter.
Google Groups pose des problèmes critiques en termes informatique et libertés et doit être mis en conformité avec le droit européen
La légalité de ce traitement impose encore que Google ait procédé aux formalités préalables et notamment obtenu une autorisation de la CNIL pour le traitement des données relatives aux condamnations (art. 25 – sinon on risque d’encourir les peines pénales de l’art. 226-16 c. pen et de l’art. 226-19, qui sanctionne cela sous peine de 5 ans d’emprisonnement et 300.000 € d’amende – 1.5 Million d’euros pour la personne morale); il faudrait ensuite démontrer qu’il n’y a pas eu de collecte déloyale en l’espèce (art. 226-18 du code pénal) et que les utilisateurs ont bien été informés par Google que l’archivage de leurs informations allait être illimité, et qu’un juge accepte l’idée que les données sensibles sont bien traitées en conformité avec la loi (226-19 c. pen.). Enfin, il faudrait également s’assurer que les données ne sont pas conservées au-delà du délai indiqué lors des formalités préalables (art. 226-20 c. pen.) si tant est qu’il y en ait un, et s’assurer – alors que ces informations ont été aspirées depuis la France vers des serveurs situés aux Etats-Unis et mises à disposition dans le monde entier – qu’il n’y a pas eu de transfert de ces informations hors UE (art. 226-22-1 c. pen. – 5 ans d’emprisonnement et 300.000 € d’amende – et 1.5 Million d’euros pour la personne morale) !
Bref, à ce stade, sans entrer dans plus de détails, on dira simplement que ce service pose d’énormes problèmes en termes informatiques et libertés, et qu’il est urgent qu’il fasse l’objet d’une mise en conformité avec le droit européen. Espérons que des avancées substantielles pourront être faites sur ces points rapidement.
III – Vers un droit des moteurs de recherche
En fédérant contre elle une large variété d’acteurs Google risque bien de pousser à la création d’un droit spécifique des moteurs de recherche. Les récents déboires avec le financement de la presse s’accumulent maintenant avec la question de la gestion des données personnelles, des questions sur la concurrence déloyale, une diversité de jurisprudence propres à chacun des services du Géant américain (Google suggest ayant beaucoup fait parler de lui) ou encore Street View que l’on envisage maintenant d’interdire quasiment.
Et l’une des composantes de ce nouveau droit pourrait être de réguler le coeur de Google : son algorithme de classement
Finalement on peut se demander s’il n’y a pas dans ces velléités de régulation de l’activité des moteurs de recherche, des invariables dont il faut se saisir, telles que :
- interdire l’accumulation, l’interconnexion et la mise à disposition sans le consentement exprès et préalable de corpus massif de données sur des personnes physiques ; Googler une personne est un sport qui devrait comporter des règles minimales de savoir vivre ;
- simplifier aux personnes la possibilité de gérer les données personnelles référencées et archivées par les moteurs de recherche (ex : pouvoir facilement et automatiquement faire déréférencer une page web qui traite ses propres informations et imposer l’anonymisation d’autres informations) ;
- imposer une certaine égalité de traitement des sites référencés – dans le sens de limiter la possibilité aux moteurs de recherche de mieux référencer leurs propres services par rapport aux concurrents potentiels ;
- mieux gérer les contenus protégés par le droit d’auteur ;
- conférer un droit au référencement dans le moteur pour tout un chacun dans des délais déterminés ;
- réguler précisément les cas de déréférencements des index.
C’est toucher autant à la manière de construire les services web que peut-être directement à leur algorithme de classement de distribution du PR. Impensable ? A observer la régulation dans les secteurs télécom et bancaires, certainement pas sur le sol européen.
La question est de savoir si Google ressortira vraiment gagnant de ces nouvelles régulations.