[Questions à...] Des véhicules contre les libertés publiques, la CNIL s'oppose à Google - Questions à Anne-Charlotte Gros, avocat au barreau de Paris

Depuis 2007, la société Google déploie dans le monde entier des véhicules dits Google cars. Ces véhicules enregistrent des vues panoramiques des lieux qu'ils parcourent, afin de proposer aux internautes le service Google Street View. Lors de plusieurs contrôles effectués en 2009 et 2010, la CNIL a constaté que ces véhicules captaient des données transitant par les réseaux sans fil Wi-Fi de particuliers, et ce à l'insu des personnes concernées. Elle a donc mis en demeure la société Google de régulariser sa situation. Si la CNIL relève, en l'espèce, que la société a pris l'engagement de cesser toute collecte de données issues des bornes Wi-Fi sécurisées ou non, elle souligne que Google continuera effectivement à utiliser les adresses et identifiants des utilisateurs de ces réseaux pour fournir ses services de géolocalisation, non plus via les Google cars, mais directement par le biais des terminaux mobiles des utilisateurs (smartphones, ordinateurs portables, etc.), et ce, toujours à leur insu. La CNIL considère qu'il s'agit d'une collecte déloyale au sens de la loi du 6 janvier 1978 modifiée (loi n° 78-17, relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L8794AGS), qui était déjà à l'oeuvre avec les Google cars. Dans une délibération rendue le 17 mars 2011 (délibération CNIL n° 2011-035 N° Lexbase : X9936AHH), et compte tenu des manquements constatés et de leur gravité, ainsi que des avantages économiques qui en furent retirés, la formation contentieuse de la CNIL a décidé de prononcer, à l'encontre de cette société, une sanction pécuniaire de 100 000 euros. Pour faire le point sur cette décision destinée à protéger les libertés essentielles de chaque citoyen, Lexbase Hebdo - édition publique a rencontré Anne-Charlotte Gros, avocat au barreau de Paris. Lexbase : Quel était la teneur exacte des contenus captés par les Google cars ?

Anne-Charlotte Gros : A l'origine, les Google Cars sont des véhicules que Google fait circuler dans le monde entier afin de prendre des images et de permettre, ainsi, aux internautes de voir à quoi ressemble un quartier, une rue ou un immeuble, grâce aux outils Google Map et Google Street View. Mais Google, dans l'objectif d'enrichir son outil de géolocalisation Google latitude, semble être allée au-delà de la simple captation d'images, en collectant, non seulement des données techniques mais, également, des données issues de réseaux Wi-Fi non sécurisés concernant des particuliers et captées à l'insu de ces derniers (identifiants, mots de passe, données de connexion et de navigation, échanges de courriel, etc.).

A partir de l'analyse des données effectuées par la CNIL, un certain nombre de rapprochements ont pu, ainsi, être réalisés et ont permis de déterminer avec précision la nature des sites consultés, les mots de passe permettant d'y accéder, l'emplacement géographique des internautes concernés, ainsi que les heures de connexion. La CNIL, dans sa décision, cite un certain nombre d'exemples, où il a été possible de localiser des internautes qui se sont connectés à des sites pornographiques ou des sites de rencontres, d'intercepter des bribes d'un accès à un système de soins en ligne, ou même, de consulter un échange de courriels entre deux individus cherchant une relation extraconjugale.

Ainsi, la CNIL reproche à Google d'avoir collecté des milliers de données à caractère personnel à l'insu des personnes concernées et d'avoir pu développer une base de données de géolocalisation extrêmement performante, lui permettant, par conséquent, d'acquérir une position dominante dans ce secteur. L'amende de 100 000 euros qui a été infligée à Google, notamment à ce titre, est la plus importante depuis que la CNIL a le droit de prononcer des sanctions financières. Si cette sanction, assortie d'une obligation de publier la décision sur le site internet de la CNIL et de Légifrance est sévère, elle paraît justifiée, selon la CNIL, au regard des avantages économiques que Google a pu retirer de cette collecte de données. Google dispose d'un délai de deux mois pour exercer un recours devant le Conseil d'Etat, et il est fort à parier que ce sera le cas.

Lexbase : Quelles étaient les formalités administratives préalables à la mise en oeuvre du service Google Latitude auxquelles Google aurait dû se plier ?

Anne-Charlotte Gros : Selon la CNIL, le service Google Latitude, préalablement à sa mise en oeuvre, aurait dû faire l'objet de formalités auprès de cette dernière, en application du chapitre IV de la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés modifiée. Les dispositions de cette loi imposent à tout responsable de traitement l'obligation d'accomplir des formalités préalables auprès de la CNIL, avant toute mise en oeuvre d'un traitement automatisé de données personnelles. Ces formalités consistent, notamment, à soumettre le traitement concerné, selon les cas, soit à une déclaration auprès de la CNIL, soit à une autorisation par cette dernière.

En l'espèce, le bureau de la commission avait enjoint Google, à deux reprises, de procéder à ses obligations déclaratives pour la mise en oeuvre de son service Google Latitude. Google n'a jamais donné de suite favorable car elle estime que la collecte des données concernées n'a pas été réalisée par des moyens de traitements situés sur le territoire français, et que la loi française "informatique et libertés" du 6 janvier 1978 modifiée ne lui était donc pas applicable. La CNIL n'a pas partagé ce point de vue et a considéré que le service Google Latitude reposait sur le recours à certains moyens de traitement déployés sur le territoire français, comme les Google cars circulant en France et les terminaux des utilisateurs utilisés à des fins de géolocalisation, et que, par conséquent, la loi "informatique et libertés" était parfaitement applicable en l'espèce.

Lexbase : Sur quels éléments s'est fondée la CNIL pour établir que les données collectées avaient un caractère personnel ?

Anne-Charlotte Gros : La CNIL a tout d'abord fait une distinction entre les données Wi-Fi et les données dites de "contenu". S'agissant des données Wi-Fi, la CNIL a rappelé que l'identification d'une personne ne passait pas nécessairement par la connaissance d'éléments d'identité avérés (nom, prénom, etc.), mais pouvait ressortir d'un faisceau d'autres éléments (métier, nationalité, âge, numéro de téléphone, conditions de travail, etc.). Elle a ensuite considéré que les données Wi-Fi (plus exactement données "SSID" et "MAC"), combinées avec des données de géolocalisation, étaient des données à caractère personnel au sens de l'article 2 de la loi du 6 janvier 1978 modifiée, interprétation contestée par Google.

S'agissant des données de "contenu", alors que, pour Google, ces données enregistrées en format binaire et illisibles pour tout individu, ne permettaient pas d'identifier des personnes physiques, la CNIL a considéré, que, au contraire, celles-ci recouvraient des informations relatives à des sites internet consultés, à des adresses électroniques, à leur localisation géographique, à des identifiants et des mots de passe de comptes personnels, ainsi qu'au contenu de courriers électroniques. Pour la CNIL, de telles données constituent incontestablement des données à caractère personnel au sens de la loi du 6 janvier 1978 modifiée, sans qu'il soit nécessaire de déterminer les nom et prénom des personnes concernées pour retenir cette qualification.

Lexbase : En l'absence de toute réutilisation ultérieure des données, en quoi la violation des droits des citoyens était-elle constituée ?

Anne-Charlotte Gros : Cette question reprend précisément l'argument qui a été invoqué par Google pour se défendre contre les reproches faits par la CNIL sur l'atteinte au respect de la vie privée et des libertés individuelles. Rappelons, tout d'abord, les termes de l'article 1er de la loi du 6 janvier 1978 modifiée, qui dispose que "l'informatique doit être au service de chaque citoyen [...] elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

L'article 6 de la loi précitée dispose que les données doivent être collectées et traitées de manière loyale et licite. Or, la CNIL considère que la collecte des données issues des bornes Wi-Fi à l'insu des personnes concernées constitue une violation de l'article 1er précité, notamment, en raison du caractère "de nature extrêmement personnelle", voire "sensible" de certaines d'entre elles (l'orientation sexuelle ou l'état de santé, par exemple). Toujours selon la CNIL par l'intermédiaire de son rapporteur, cette collecte a été opérée de manière déloyale à l'insu des personnes concernées qui n'ont pas été informées de leurs droits.

Si aujourd'hui Google déclare avoir collecté ces données Wi-Fi par erreur et s'est engagée à cesser toute capture via ses Google cars, la CNIL constate que cette collecte se poursuit de manière déloyale selon elle "directement par le biais des terminaux mobiles des utilisateurs se connectant au service Latitude, et ce à leur insu", et en l'absence d'information générale à l'égard des personnes concernées. La CNIL aborde, ainsi, une question sensible qui devrait contraindre Google à davantage de transparence vis-à-vis des internautes utilisateurs de ses services de géolocalisation.

Lexbase : En quoi les réponses apportées par Google ont-elles été jugées insuffisantes à la mise en demeure adressée en mai 2010 ?

Anne-Charlotte Gros : La CNIL reproche à Google de n'avoir communiqué qu'une partie de son logiciel de collecte de données, notamment en ce qui concerne son "code source". Seuls des éléments partiels du "code source" initial du logiciel lui ayant été fournis, la CNIL a regretté de ne pas avoir eu accès à l'ensemble des éléments, tant du "code source" initial que du nouveau "code source". Google considère que l'article 44 de la loi du 6 janvier 1978 modifiée prévoit que les agents de la CNIL peuvent accéder aux programmes informatiques et aux données dans le cadre de missions de contrôle, sans faire référence aux "codes sources" des logiciels.

La CNIL rappelle que le même article 44 prévoit que les agents de la CNIL peuvent obtenir communication et copie "de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support" lors de missions de contrôle. Selon elle, la notion de "document" doit être entendue au sens large et recouvre, ainsi, les "codes sources" du logiciel à l'origine de la collecte des données Wi-Fi. Il convient ici de relever la divergence d'interprétation de l'article 44 entre Google et la CNIL, qui ne manquera pas d'être débattue à nouveau en cas de recours de Google devant le Conseil d'Etat.

Cette décision est intéressante dans la mesure où elle constitue l'illustration parfaite de la politique actuelle menée par une autorité administrative indépendante, telle que la CNIL, en matière de contrôle et de sanction. Elle traduit, en effet, la volonté manifeste de la CNIL, en exigeant de Google de livrer les "codes sources" de son logiciel, de s'intéresser au concept de "privacy by design" (i.e. le respect de la vie privée dès la conception) qui consiste à intégrer, dès la conception de ce type de produits, les aspects liés à la vie privée et à la protection des données à caractère personnel.

© Reproduction interdite, sauf autorisation écrite préalable