Google passe à la caisse… Des cookies à 22.5 millions de Dollars ! Par Suzanne Vergnolle
Résumé : « If you think that the United States does not have privacy law, think again ». La décision du 16 novembre 2013 s’inscrit dans le cadre des nombreuses actions engagées par la FTC pour appliquer les lois protégeant le droit à la privacy. Google aura appris sa leçon : le gratuit a un prix, qui ne doit pas être payé par l’utilisateur. Ce commentaire a pour but de démontrer en quoi la société de la Mountain View est sous haute surveillance tant au niveau local qu’au niveau global.
« Cookie : anciennement petit gâteau sucré, qu’on acceptait avec plaisir. Aujourd’hui : petit fichier informatique drôlement salé, qu’il faut refuser avec véhémence ». (Luc Fayard). Un cookie est une suite d'informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTTP sous certaines conditions.
Si Internet entraine des révolutions dans de nombreux secteurs, le droit des données personnelles (définis aux Etats-Unis comme des faits, statistiques ou mode d’information et en France comme toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres) se trouve quasi quotidiennement adapté. En effet, il ne passe pas une semaine sans que les acteurs économiques soient concertés, écoutés, sanctionnés, ou soumis à de nouvelles règles.
La décision du 16 novembre 2012 rendue par le tribunal fédéral du district nord de Californie n’en finit pas, à cet égard, de faire couler de l’encre. Cette décision approuve l’accord entre la Federal Trade Commission (FTC) et Google suite à l’action de la FTC contre Google pour violation d’une ordonnance du 11 Octobre 2011. Cette ordonnance interdisait à Google toute future déclaration inexacte concernant, d’une part la collecte, l’utilisation et le contrôle des données personnelles, et d’autre part, l’adhésion et le respect par Google de programmes de protection et de sécurité des données personnelles.
L’accord approuvé le 16 novembre 2012 confirme la fin des poursuites de la FTC à l’encontre de Google, qui avait placé sur le navigateur Safari des cookies traceurs permettant de faire de la publicité ciblée et avait donc trompé les utilisateurs de ce navigateur sur la nécessité de désactiver l’accès à leurs données au sein du réseau Google.
L’accord prévoit le paiement par Google d’une sanction civile s’élevant à 22,5 millions de dollars et oblige Google à maintenir un système de suppression des cookies sur le navigateur Safari jusqu’au 15 février 2014 et à présenter un compte rendu dans les vingt jours suivant le 15 février 2014 à la FTC exposant les moyens mis en place pour se conformer à l’accord.
L’accord approuvé par le tribunal fédéral du district nord de Californie est symbolique de la pratique des règlements amiables entre les parties existante aux Etats-Unis. Derrière la décision formelle approuvant l’accord se trouve le véritable enjeu juridique. En effet, la décision n’apporte aucune nouveauté en ce qui concerne les pouvoirs du tribunal dans sa vérification que l’accord soit fondamentalement juste, adéquate et raisonnable. Ce qui est atypique au contraire est l’accord per se : le montant record de l’amende à payer par Google, le laps de temps réduit entre les deux poursuites par le FTC, la sanction de la violation d’une ordonnance antérieure et l’extension des compétences de poursuites du FTC.
Si le système européen adopte une approche protectrice des utilisateurs en érigeant le droit des données personnelles en droit fondamental, le système américain adopte une approche beaucoup plus libérale et est tiraillé par des tendances gouvernementales cherchant une meilleure protection de la privacy et par le secteur privé réclamant une liberté quasi complète. Ces deux systèmes offrent ainsi des facteurs de comparaison très intéressants dans ce domaine juridique.
Il peut ainsi être pertinent de se demander dans quel cadre s’inscrit ce nouvel accord sanctionnant Google. Nous étudierons dans un premier temps dans quelle mesure Google est un acteur économique sous haute surveillance tant aux Etats-Unis qu’en Europe (I), puis nous verrons en quoi cette décision s’inscrit dans un cadre juridique global (II).
I) Google, un acteur économique sous haute surveillance tant aux Etats-Unis qu’en Europe.
A) Un accord atypique sanctionnant une entreprise récidiviste.
L’accord porté à l’attention du tribunal fédéral ne représente que très partiellement le pouvoir d’action offert à la FTC par la Section 5 du FTC Act, et apparaît très atypique, à plusieurs égards.
Tout d’abord, il s’agit de la deuxième action menée par la FTC à l’encontre de Google en moins de douze mois. Ce laps de temps restreint est une véritable première en la matière. Si la FTC a déjà dirigé, par le passé, une seconde action contre la même compagnie, pour des griefs différents, mais elle n’avait jamais encore engagé une seconde action ayant pour objet la même violation du FTC Act.
La situation est d’autant plus rare que la FTC a un pouvoir coercitif assez limité en vertu de la Section 5 du FTC Act : elle ne peut exercer ce pouvoir que dans le cadre de la violation d’une précédente ordonnance. En effet, la Section 5 donne à la FTC des pouvoirs de prévention limités puisqu’elle ne peut agir qu’en présence de pratiques déloyales et malhonnêtes. En l’espèce, la FTC se fonde précisément sur les pouvoirs du §I de la Section 5 (FTC Act) qui lui confère la possibilité d’agir en cas de violation d’une précédente ordonnance devenue finale. Cette provision permet à la Commission de poursuivre la compagnie violant une telle ordonnance et d’obtenir une condamnation pouvant aller jusqu’à $ 10 000 pour chaque violation.
En l’espèce, l’amende prend en compte principalement les revenus présumés perçus par Google et la nature de ces pratiques. Ce montant s’élève à $ 22.5 millions qui se révèle être largement supérieur aux accords précédents finalisés avec la FTC. Notamment en 2006, l’accord ChoicePoint prévoyait un total de $15 millions de pénalités, mais cet accord concernait une violation du respect des données personnelles des consommateurs.
Beaucoup de commentateurs voient en cette amende record un exemple pour les autres compagnies. Jon Leibowitz, alors Président de la FTC, a déclaré que « peu importe leurs tailles, toutes les entreprises doivent respecter les ordonnances prises à leur encontre par la FTC, tenir leurs promesses et protéger les données personnelles de leurs consommateurs. Dans le cas contraire elles devront payer beaucoup plus que ce qu’elles auraient dû initialement payer. »
La FTC a démontré qu’elle veillait au bon respect de ses ordonnances et a prouvé sa vigilance pour le respect de la protection des données personnelles des consommateurs. Ainsi, les entreprises sous le coup d’une Ordonnance doivent se montrer très vigilantes pour éviter une nouvelle action à leur encontre, puisque cette décision laisse envisager d’autres futures actions par la FTC pour des motifs similaires.
B) Une Europe vigilante adressant à Google des reproches similaires.
En vertu de l’article 29 de la directive du 24 octobre 1995 sur la protection et la libre circulation des données (95/46/CE), la CNIL française (Commission Nationale Informatique et Liberté) est la porte parole des négociations entre l’Europe et Google.
La CNIL a dans le cadre de ses compétences développé deux types de rapports avec Google : d’une part l’ouverture et la tenue de négociations principalement au niveau européen et d’autre part un pouvoir de sanction au niveau national.
Les nouvelles règles de confidentialité annoncées en Janvier 2012 par Google et applicables depuis le 1er mars 2012 soulèvent de nombreuses inquiétudes quant à la protection des données personnelles. Ces règles offriraient, selon Google, une meilleure visibilité pour les utilisateurs, le but étant d’établir une « version unique, à la fois complète, concise et simple à lire » pour tous les services offerts par Google.
Le Groupe des 29 (organe consultatif européen indépendant sur la protection des données et de la vie privée composé de représentants des autorités nationales chargées de la protection des données, du CEPD et de la Commission européenne) a alors saisi et demandé à la CNIL d’évaluer la portée de ces changements pour les utilisateurs. La CNIL a échangé plusieurs courriers avec Google, l’a questionnée et a mené une enquête. Elle lui a également demandé le report des nouvelles règles sur le fondement que Google n’informerait pas suffisamment les utilisateurs sur la nature des données collectées et le périmètre de la collecte (Lettre du 27 février 2012). Cette proposition de report est restée lettre morte et les nouvelles règles de confidentialité sont entrées en vigueur au 1er mars 2012.
Dans un courrier du 16 Octobre 2012, les CNIL européennes (Working Party) ont donc réitéré leurs inquiétudes sur la violation des règles européennes en rappelant à Google les carences des nouvelles règles : le manque d’information pour les utilisateurs, les problèmes liés à la collecte extensive de données personnelles pour la combinaison de services de Google et enfin l’absence d’engagement de la part de Google sur la durée de conservation des données recueillies. De plus, elles offrent à Google des recommandations afin d’assurer la conformité des nouvelles règles aux textes européens.
Concrètement, Google avait jusqu’au 15 février 2013 pour se conformer à ces recommandations. Sans tarder, les autorités européennes réunies en séance plénière du G29 le 26 février 2012 ont décidé de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent. Un groupe de travail, piloté par la CNIL française, a été mis en place afin de coordonner leur action répressive, laquelle devrait être lancée avant l'été.
L’exercice du pouvoir de sanction de la CNIL française a notamment débouché sur une sanction financière d’un montant de € 100 000 dans l’affaire « Google Street View ». En effet, après avoir mis en demeure Google de régulariser les manquements liés à ce service constatés en mai 2010, la formation contentieuse de la CNIL a estimé qu’il n’avait pas été répondu à ses demandes dans les délais impartis et a donc prononcé le 17 mars 2011 une amende de € 100 000.
Pour des raisons similaires Google vient de finaliser un accord le 13 mars 2013 aux Etats-Unis avec 38 Etats. Google accepte entre autres de payer une amende d’un montant de 7 millions de dollars à ces Etats.
Après le prononcé d’une telle sanction, la sanction de la CNIL en 2011 semble dérisoire et apparaît peu dissuasive pour le géant américain.
Une des principales différences qu’offre le système américain est cette possibilité d’accords amiables. Ainsi, si la FTC a un pouvoir d’action limité, le système américain permet à d’autres acteurs d’intervenir et de prolonger ce pouvoir afin de mieux protéger la vie privée des consommateurs américains. Il apparaît que le système américain offrirait un pouvoir de sanction plus important et plus efficace que celui européen plus lourd et long à se mettre en place.
II) Une décision s’inscrivant dans un contexte global.
A) Un pouvoir judiciaire très vigilant et des évolutions législatives en perspective.
L’évolution de l’usage d’Internet a entrainé de nouvelles problématiques résolues primairement par les pouvoirs judiciaires et qui ont tendance aujourd’hui à se codifier tant en Europe qu’aux États-Unis.
Google n’est pas le seul acteur sous haute surveillance de la FTC, Facebook est également sous le coup d’une ordonnance, en date du 29 Novembre 2011. La FTC a également ouvert une nouvelle procédure le 10 Aout 2012 à l’encontre de Facebook pour violation du FTC Act, qui a abouti sur une nouvelle ordonnance. Facebook devra renforcer la protection des données personnelles de ses utilisateurs notamment en les informant sur la nature des données collectées, le but de leur collecte et devra obtenir pour certaines actions un consentement exprès.
De plus, la multiplication des class actions engagées pour la protection des données personnelles est un symbole du mécontentement général des consommateurs. Aux Etats-Unis, la décision In re Google, Inc. privacy policy litigation du 28 Décembre 2012 rendue par le District Nord de Californie est un exemple récent d’action contre les nouvelles règles de confidentialité de Google. Cette action a toutefois été jugée irrecevable pour absence de preuve d’un préjudice actuel ou imminent. Un appel restait cependant possible pour les consommateurs jusqu’au 31 janvier 2013. Similairement en Angleterre, le cabinet Oslwang a lancé un appel pour l’ouverture d’une class action contre Google.
Aux Etats-Unis les nouvelles règles ont tendance à augmenter la protection de la privacy en encourageant l’obtention d’un consentement express des utilisateurs, particulièrement pour les données dites sensibles. En effet, le très récent rapport de la FTC du 1er Février 2013 encourage l’obtention d’un tel consentement pour les utilisateurs d’applications sur les mobiles.
En Europe, les textes relatifs au cadre règlementaire pour les communications électroniques appelé « Paquet Télécom » se composent de deux directives (2009/140/CE et 2009/136/CE) et d’un règlement CE (n° 1211/2009, établissant un organe des régulateurs européens des communications électroniques). La transposition en droit français des directives par une Ordonnance (n° 2011-1012 du 24 août 2011) renforce notamment l’obligation d’information des internautes à l’égard des cookies. La loi française impose désormais une information préalable au dépôt du cookie et le consentement de l’internaute.
Cependant cette directive mise en application pratique depuis le 26 mai 2012 est très mal accueillie par les acteurs économiques puisqu’ils risquent des condamnations pouvant aller par exemple jusqu’à 300 000 € en France, 500 000 £ en Angleterre.
Si le système français offre une bien plus grande protection des données personnelles au niveau législatif et donc protège mieux, le système américain encourage vivement les acteurs économiques à adopter ces best practices, conduisant les acteurs américains à progressivement adopter des mesures de protections des données personnelles.
Enfin, est actuellement en préparation un projet de règlement européen de protection des données personnelles. Le 25 janvier 2012 a été publié un rapport qui a été très bien accueilli par l’ensemble des Etats européens et notamment par la CNIL française. Ce texte permettrait sans doute d’obtenir des actions plus rapides et efficaces en cas d’atteintes à la vie privée.
B) Google, un acteur clé dans de nombreux domaines.
Google s’est érigé comme référence et leader mondial en une dizaine d’année. Ainsi, il n’a pas seulement été au cœur des débats en matière de traitement des données personnelles, il occupe un rôle central dans de nombreux autres domaines tels que par exemple le droit de la propriété intellectuelle.
Le 1er février 2013 un accord a été signé entre Google, le Gouvernement et les éditeurs de presse français. Google doit établir un fonds de 60 millions d’euros. Ce fond sera destiné aux titres de presse d’information politique et générale et se répartira sur une période de trois à cinq ans. Il sert à financer des projets innovants sur le web et à aider la « mutation numérique » de la presse. D’autre part, Google se propose d’aider les titres de presse à « accroître leurs revenus en ligne » grâce à l’utilisation des outils et des « technologies publicitaires » du groupe.
Le Président de la République s’est montré particulièrement enthousiaste à la signature de cet accord, précédé de trois mois de négociations. Cependant, de nombreux commentateurs sont réticents et sont inquiets sur sa suite, notamment lorsque les fonds seront épuisés. Le site internet Public Sénat dénonçait « un accord qui pose plus de questions qu’il n’apporte de réponses ». De plus le manque de détails laisse planer de nombreux doutes ainsi, le Spiil a demandé que l’accord soit rendu public. Parce que l’accord manque de transparence il n’est pas possible d’en déterminer la portée et notamment quelle serait la sanction en cas de violation par Google de cet accord.
Cependant, bien que cet accord soit purement contractuel et ne soit pas l’objet d’une loi, le juge administratif français serait certainement le juge compétent en cas de manquement pour sanctionner Google.
Un accord similaire resté secret avait également été signé en Belgique le 12 décembre 2012 entre Google, les éditeurs francophones de quotidiens et la Société de droits d’auteur des journalistes. Cet accord portait sur un compromis global, incluant des astreintes imposées par la justice et une indemnisation pour usage illicite de certains contenus de la presse.
Une des principales différences entre l’accord gouvernemental signé par la France avec Google et celui obtenu par la FTC réside dans le fait qu’il s’agit d’un accord volontaire de la part de Google et non d’une sanction issue d’une violation d’un précédant accord.
Si les condamnations américaines sont caractérisées par leurs montants beaucoup plus élevés que celles obtenues dans les Etats européens, il reste intéressant de se demander si une corrélation peut être établie entre ces sanctions et la prise de mesures contraignantes tendant à protéger la vie privée. En effet, Google est une entreprise réalisant un chiffre d’affaire dépassant les 50 milliards de dollars en 2012, basé essentiellement sur la publicité.
Google en tant que moteur de recherche le plus utilisé au monde est au centre de nombreux contentieux et doit s’efforcer à s’appliquer son propre slogan : « Don’t be evil ».
Bibliographie :
Règlementations :
Union Européenne :
- Directive n° 95/46/CE.
- Directive n° 2002/58/CE.
- Directive n° 2009/136/CE.
- Directive n° 2009/140/CE.
- Règlement CE n°1211/2009.
- Projet de règlement européen de protection des données personnelles, COM(2012)0011 – C7-0025/2012 – 2012/0011(COD).
- Opinion 04/2012, Article 29 Data Protection Working Party.
France :
- Ordonnance n°2011-1012 du 24 aout 2011.
US :
- FTC ACT, 15 U.S.C. §§ 41-58.
Décisions :
Décisions Américaines :
- U.S. v. Google Inc., U.S. District Court, N.D. Californie, 11 Octobre 2011.
- U.S. v. Google Inc., U.S. District Court, N.D. Californie, 16 Novembre 2012.
- U.S. v. Choicepoint Inc., U.S. District Court, N.D Georgia, 3 Janvier 2006.
- In the matter of Facebook, inc., Federal Trade Commission, 29 Novembre 2011.
- In the matter of Facebook, inc., Federal Trade Commission, 10 Aout 2012.
- In Re google, inc. Privacy policy litigation, U.S. District Court, N.D. Californie, 28 Décembre 2012.
- Oracle America v. Google, U.S. District Court, N.D. Californie, 9 Janvier 2012.
- Perfect 10, Inc. v. Google, Court of Appeals 9th Circ., 3 Aout 2011.
Décisions Françaises:
- Délibération n° 2011-035 de la CNIL, 17 mars 2011
Articles :
- GILBERT F., « FTC v. Google : A blueprint for your next privacy audit », Journal of Internet Law, Décembre 2012.
- PIATTI M., « Commerce électronique et propriétés intellectuelles », RTD Com. 2006 p.1, 15 mars 2006.
- THIEFFRY P., « L’emergence d’un droit européen du commerce électronique », Revue Trimestrielle de droit européen 2000, p. 649, 15 décembre 2000.
Soft Law :
- FTC Staff Report, « Mobile Privacy Disclosure, Building Trust Through Transparency », Février 2013.
Ressources électroniques :
- CNIL, « Satisfaction de la CNIL sur le pré-rapport concernant le projet de règlement de la Commission Européenne », 16 Janvier 2013.
- CNIL, « Ce que le paquet Télécom change pour les cookies », 26 avril 2012.
- ELYSEE, « Déclarations conjointes à l’issue de la signature de l’accord avec Google », 1 Février 2013.
- SPIIL, « Le Spiil demande que l’accord Google-IPG soit rendu public », 3 Février 2013.