Google Street View et protection de la vie privée aux Etats-Unis et en France - par Aurélie Camard
Google a développé un système permettant à ses utilisateurs d’avoir accès à des photographies satellites ou aériennes des lieux publics et privés dans le monde entier. C’est le système Street View, accessible via Google Maps. Google collecte ces images grâce à des véhicules équipés d’appareils photos et qui collectent les données transmises par les utilisateurs via leurs réseaux Wi-Fi. C’est cette dernière caractéristique qui a récemment fait l’objet d’une condamnation de Google par la CNIL en France et fait actuellement débat aux Etats-Unis, notamment en ce qu’elle constituerait une violation de la vie privée.
Google, Inc., multinationale domiciliée aux Etats-Unis, offre depuis 2007 le service Google Street View aux internautes américains. Ce système a été étendu à l’Europe, et notamment à la France, en 2008. Grâce à Google Street View, les internautes ont la possibilité de visualiser les rues et propriétés privées ou publiques. Un système de géolocalisation permettant aux utilisateurs d’obtenir la position d’autres internautes est également disponible. Google collecte les images et données informatiques des utilisateurs afin de trianguler leur position grâce à des véhicules (appelés « Google Cars ») équipés de caméras numériques et ports Wi-Fi, et circulant dans les rues du monde entier. Afin de pouvoir fournir ce service de géolocalisation, en plus des images des rues, Google collecte les informations réseaux des internautes et constitue une base de données.
A ses débuts, le système Street View n’a pas vraiment été mis en cause aux Etats-Unis. Il n’en a cependant pas été de même en Europe. La France a été la première nation européenne à remettre en question l’intégrité et la légitimité de ce service, notamment au regard des problèmes qu’il peut poser en matière de protection de la vie privée. L’Allemagne, la Suisse, l’Angleterre et l’Italie ont rapidement suivi, avant que la question ne soit également étudiée par la Commission Européenne. La Commission Européenne a à ce titre demandé à Google d’avertir les résidents du passage de Google Cars et de ne proposer des images non floutées que pendant 6 mois, période au terme de laquelle Google devra flouter les images de résidences privées. L’Allemagne a d’ailleurs imposé que les images soient floutées, ce qui a conduit Google à retirer son service Street View de ce pays. Ce n’est qu’à la lumière de la polémique suscitée en Europe que les instances américaines compétentes ont commencé à se pencher sur la question, mettant en lumière une certaine convergence des systèmes juridiques sur la question.
On discerne deux problématiques liées au système Street View. La première concerne le fait que les photos collectées par les Google Cars montrent aussi bien des lieux publics que privés et permettent d’observer ces lieux dans le détail. Certaines photographies montrent également des personnes, chez elles ou dans des lieux publics. Alors que la question du droit à la vie privée ne se pose pas lorsqu’il s’agit de lieux publics (rues, parcs…), il en va autrement lorsque des photographies de résidences privées sont mises à disposition du public.
La deuxième problématique est liée au fait que ces mêmes Google Cars collectent des informations parfois personnelles en captant les données des réseaux Wi-Fi qu’elles rencontrent, particuliers ou publics. En France, la Commission Nationale Informatique et Libertés (CNIL), saisie de la question, avait mené des investigations auprès de Google afin de déterminer si les informations collectées par les ports Wi-Fi des Google Cars constituaient des données à caractère personnel au sens de la l’article 2 de la loi du 6 janvier 1978 modifiée en août 2004 (Loi informatique et libertés). Au sens de cette loi, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». En ce sens, la CNIL a relevé que parmi les données collectées par Google se trouvaient les identifiants SSID par l’intermédiaire desquels il était possible d’identifier les réseaux Wi-Fi à portée et qui comportent les noms et prénoms des titulaires de ces comptes internet. En conséquence, il est possible d’identifier les personnes en captant ces données, ce qui est suffisant pour les qualifier de données à caractère personnel. De même, Google a admis avoir, par mégarde, enregistré le contenu d’emails et mots de passe d’accès à ces comptes, les sites web consultés par les utilisateurs, permettant ainsi de déterminer quels sites les internautes avaient visité et ce de façon privée.
Aux Etats-Unis, les mêmes constatations ont été faites un peu plus tard, et ce grâce à des enquêtes menées par le Electronic Privacy Information Center (EPIC). En 2010, la CNIL a mis en demeure Google de cesser de collecter les données privées des utilisateurs à leur insu, ce que Google a effectivement fait. Google a également cessé cette collecte aux Etats-Unis de son propre chef, suite aux nombreuses critiques prononcées à son encontre. Mais aussi bien en France qu’aux Etats-Unis, la polémique continue de faire rage car Google continue à utiliser les points d’accès Wi-Fi des internautes sans leur consentement et certains particuliers sont toujours présents sur les photographies de leurs résidences disponibles via Google Street View. Il semble toutefois qu’il faille une réaction claire de l’opinion publique contre cette pratique pour que l’usage de la technologie en matière de protection de la vie privée soit réglementé. La technologie évolue tellement vite de nos jours que le droit a du mal à s’y adapter et les solutions arrivent souvent trop tard.
La jurisprudence américaine est encore limitée sur la question mais les quelques affaires qui ont été portées devant les juridictions américaines ont majoritairement trait à l’affichage sur internet de photographies montrant des particuliers dans leur domaine privé. A ce propos, la Cour d’appel du 3e Circuit (US Court of Appeals, 3rd Circuit, Boring v. Google) a récemment estimé que si les particuliers, qui invoquaient une violation de leur vie privée, pouvaient prouver que Google était effectivement « entré » sur leur propriété sans leur consentement, cela constituait une intrusion illégale. Mais la Cour n’a pas statué sur la violation de la vie privée à proprement parler.
En ce qui concerne la collecte de données privées, les affaires actuellement pendantes devant les juridictions américaines n’ont pas encore donné lieu à des décisions. Toutefois, le Congrès américain ainsi que l’EPIC ont soumis la question à la Federal Trade Commission ou FTC (responsable de la protection des consommateurs aux Etats-Unis entre autres) afin que celle-ci détermine si Google agissait en violation du Federal Wiretap Act. Cette loi prohibe en effet la collecte ou l’interception intentionnelle de communications électroniques. La question de la violation du droit à la vie privée a également été posée. Jusqu’à ce jour, la FTC avait refusé d’ouvrir une enquête mais des pressions de plus en plus grandes de la part du public et du Congrès l’ont incité à mener une investigation. De même, la Federal Communications Commission (FCC) a également ouvert une enquête et certaines déclarations de ses membres laissent à penser que leur rapport final conclura à une violation de la vie privée des consommateurs lorsque Google collecte des informations via les réseaux Wi-Fi sans le consentement de leurs utilisateurs. Il est toutefois à noter que le droit américain reste de manière générale moins protecteur de la vie privée que ne l’est le droit français. Cependant, le développement incessant de la technologie permet une remise en cause et une redéfinition du droit à la vie privée, remise en cause qui ne semble toutefois pas se faire au rythme de l’évolution des technologies, ce qui démontrerait que la technologie l’emporterait encore sur la nécessité de protéger la vie privée.
En droit américain, le droit à la vie privée ne figure pas expressément au texte de la Constitution américaine, tout du moins pas au même titre que la liberté d’expression par exemple. En effet, l’article IV protège les citoyens contre « unreasonable search and seizure » (invasion de leur vie privée par l’Etat ou le gouvernement dans la recherche de preuves) et le IXe Amendement, qui fait partie de la Bill of Rights, garantit certains droits qui ne sont pas expressément énumérés dans la Constitution. Si les juridictions utilisent souvent cette disposition pour affirmer un certain droit à la protection de la vie privée, ce droit n’est pas expressément qualifié de fondamental au sens de la Constitution américaine. Ce sont les cours américaines qui l’ont élevé au rang de principe fondamental (Griswold v. Connecticut). Il faut toutefois nuancer ce caractère fondamental dans la mesure où la Constitution fédérale ne permet une protection du droit à la vie privée que lorsque d’autres droits fondamentaux expressément garantis par la Constitution sont également affectés. Ainsi, on reconnaitra un droit à la vie privée à une personne lorsqu’il y aura intrusion dans sa propriété ou lorsque son droit à la liberté aura été bafoué. De même, ce droit constitutionnel à la vie privée ne joue que lorsque c’est l’Etat qui est mis en cause, et non pas lorsqu’il s’agit d’une affaire opposant un particulier à un autre. Le développement d’internet amène toutefois à une certaine réflexion quant à l’évolution possible du droit à la vie privée. Internet a créé de nouvelles atteintes à la vie privée et il serait pertinent pour la jurisprudence de s’y adapter en reconnaissant un droit à la protection de la vie privée autant lorsque la violation provient d’une personne publique que d’une personne privée. Pour le reste, ce sont les constitutions des états fédérés qui posent un principe autonome de droit à la vie privée et ce sont ces dispositions particulières qu’il faut soulever devant les juridictions, notamment dans l’affaire Google Street View.
En tout état de cause, le droit américain ne reconnaitra un droit à la vie privée (« privacy ») que dans la mesure où l’individu concerné avait une « reasonable expectation of privacy » (attente raisonnable quant à la protection de la vie privée). Ainsi, une personne ne peut raisonnablement s’attendre à ce que son droit à la vie privée soit protégé lorsqu’elle se trouve dans un lieu public ou lorsque d’autres individus ont été témoins de son comportement.
En France, le droit à la protection de la vie privée est expressément mentionné à l’article 2 Déclaration des Droits de l’Homme et du Citoyen de 1789. Il figure également à l’article 9 du Code civil qui dispose que « chacun a droit au respect de sa vie privée ». On trouve également des garanties au niveau européen (article 8 de la Convention européenne des droits de l’homme). Contrairement au droit américain, le droit à la protection de la vie privée est expressément reconnu comme fondamental, même s’il faut souvent le contrebalancer avec d’autres droits comme celui de la liberté d’expression.
Appliquée aux litiges concernant internet, la protection de la vie privée fait référence au secret des correspondances (emails) et à la protection des données personnelles. C’est cette dernière caractéristique qui est déterminante dans l’affaire Google Street View. En ce sens, et ce au vu de la définition de « données à caractère personnel » figurant à l’article 2 de la loi informatique et libertés ainsi qu’à l’article 2 de la Directive européenne 95/46 du 24 octobre 1995, Google a effectivement collecté des données à caractère personnel, engageant de ce fait sa responsabilité. C’est sur ce fondement que la CNIL a prononcé le 17 mars 2011 une amende de 100.000€ à l’encontre de Google et a ordonné à ce dernier de cesser la collecte de données personnelles sans le consentement des internautes concernés. La Commission européenne a également demandé à Google d’avertir les résidents avant de photographier leur résidence et de « flouter » les images après six mois de présence sur le web. Au vu des nombreuses condamnations dont il fait l’objet en Europe, Google envisage le retrait de Street View du marché européen, les demandes des différents Etats étant jugées impossibles à satisfaire.
Au regard de la conception américaine de la protection de la vie privée en tant que telle, Google sera certainement reconnu responsable en ce qui concerne la collecte de données personnelles. En ce qui concerne les photographies montrant les particuliers, il faudra attendre les décisions prises sur la base des lois des états fédérés mais jusqu’ici, il semble que les juridictions soient plutôt partagées. En tout état de cause, il faut plutôt s’en remettre aux lois américaines plus spécifiques telles que l’Electronic Communications Privacy Act ou les lois concernant la protection de la vie privée sur internet. En effet, ces lois protègent les données personnelles des particuliers contre toute intrusion sans leur consentement et il est fort probable que Google soit à terme condamné sur ce fondement.
Cette affaire est loin d’être terminée et il faudra sans doute attendre une décision claire de la FTC aux Etats-Unis pour savoir à quoi s’en tenir sur la potentielle violation de la vie privée par Google en matière de collecte de données. Il est toutefois fort probable que les Etats-Unis suivent les décisions européennes sur ce point car l’intrusion de Google dans la vie privée des particuliers est flagrante, notamment en ce qu’ils collectent des mots de passe et contenus d’emails privés. En ce qui concerne l’image des personnes se trouvant sur leur propriété privée, la solution peut ne pas être aussi claire puisque les Google Cars prennent ces photographies depuis des rues qui sont par essence publiques. Les juridictions américaines pourraient ici très bien contrebalancer ce droit à la vie privée avec la liberté d’expression de Google. Ce serait pousser la liberté d’expression au maximum mais les juridictions américaines l’ont déjà fait par le passé. Il faut cependant nuancer cette possibilité car les déclarations des uns et des autres laissent à penser que les Etats-Unis suivront les décisions européennes à ce sujet.
Le raisonnement des instances européennes est ici protecteur de la vie privée des particuliers et internet étant une plateforme globale qu’il est difficile d’encadrer juridiquement, il est intéressant de voir que les différents régulateurs internationaux arrivent à trouver des bases communes afin de poser des limites aux activités sur internet. Il faudrait toutefois que le droit s’adapte plus rapidement aux nouvelles technologies car il accuse encore un retard conséquent et ne sanctionne pas certaines violations qui sont déjà significatives et pourraient créer des problèmes encore plus importants.
Bibliographie
Textes de Loi : Electronic Communications Privacy Act (18 U.S.C. §2510) - Federal Wiretap Act (18 U.S.C. §§ 2510-2522) – Loi Informatique et Libertés 2004 (2004-801), modifiant la loi de 1978 (78-17)
Revues: JCL libertés, Fsc. 820: Internet et Libertés (2007) – Computers and the Internet, NTS American Jurisprudence, 2d. ed., March 2011 – The Rights of Publicity and Privacy §5:89, McCarthy, 2d. ed. (2011) – Constitutional Law, American Jurisprudence, 2d. ed., (2011)
Articles: Investigation of Google Street View, US Electronic Privacy Information Center (EPIC), disponible sur http://epic.org/privacy/streetview - Dossier “Google Street View”, disponible sur http://www.cnil.fr
Décisions: Délibération n°2011-035 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google, Inc. (CNIL, 17 mars 2011) – Boring v. Google, Inc., 362 Fed.Appx. 273 (2010)