Le 1er mars 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services.
Les Commissions nationales de l’informatique et des libertés (Cnil) européennes ont alors demandé à Google de suspendre la mise en place de ses nouvelles règles de confidentialité des données devant entrer en vigueur le 1er mars 2012. La société Google n’ayant pas donné de suite effective à celles-ci, en octobre 2012, l’autorité française lui a demandé de fournir une information plus claire des utilisateurs, un meilleur contrôle de la combinaison de données entre ses services et une modification des outils utilisés pour éviter une collecte excessive de données.
En février 2013, les autorités européennes, constatant que Google n’avait pas apporté de réponse précise et opérationnelle à leurs recommandations, ont décidé la mise en place d’un groupe de travail pour coordonner leur action répressive. C’est ainsi que dans une décision du 10 juin 2013, la Cnil française a mis en demeure Google et lui a donné trois mois pour se mettre en conformité avec la loi « informatique et libertés », sous peine de sanctions financières.
Le 3 janvier 2014, la Cnil française prononce à l’encontre de la société une sanction pécuniaire de 150.000 €, estimant que celle-ci ne respecte pas plusieurs dispositions de la loi « informatique et libertés ».
Elle retient que les données relatives aux utilisateurs des services de Google en France et traitées par cette société, sont bien des données à caractère personnel et que, contrairement à ce que soutient la société, la loi française s’applique aux traitements, par celle-ci, des données personnelles des internautes résidant en France.
Elle considère également que les conditions de mise en œuvre du but de simplification poursuivi par la société en fusionnant ses politiques de confidentialité sont contraires aux exigences de la loi.
En effet, en premier lieu, la société n’informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n’étant pas déterminées comme l’exige la loi, ni l’ampleur des données collectées à travers les différents services.
En deuxième lieu, la société ne respecte pas les obligations qui lui incombent d’obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.
En troisième lieu, elle ne fixe pas de durées de conservation pour l’ensemble des données qu’elle traite.
En quatrième et dernier lieu, elle s’autorise sans base légale à procéder à la combinaison de l’intégralité des données qu’elle collecte sur les utilisateurs à travers l’ensemble de ses services.
09/01/2014