Catégorie dans 📰 Au cœur de l’actualité

La municipalité de Nice a annoncé le 19 Février 2019 avoir été autorisée par la CNIL à avoir recours à la technologie de la reconnaissance faciale. Cette technologie permet d’authentifier une personne, ou de l’identifier. Cela fait maintenant quelques années que la municipalité travaille sur ce projet, et ce depuis l’installation de caméras de surveillance dans la ville.

Selon la Mairie de Nice, une phase de test avec six caméras est prévue . Cela durerait deux jours, et une poignée de volontaires seront soumis à la reconnaissance faciale sur la voie publique. Afin d’être confronté à la réalité, la Mairie mettra en place des scénarios dans lesquels cette technologie serait utile, notamment dans le cadre de la commission d’une infraction telle qu’une agression.

Après cette phase de test, la CNIL demande qu’un bilan lui soit transmis dans un délai de deux mois. Par ailleurs, la Haute Autorité met en garde la Mairie de Nice et déclare que « cette expérimentation doit reposer sur le consentement « libre » et « éclairé » des personnes volontaires » ; la ville doit donc respecter scrupuleusement le RGPD. Elle déclare également que les « les dispositifs biométriques ne sont plus soumis à autorisation préalable de la CNIL depuis l’entrée en vigueur du RGPD ». Son rôle ne serait donc que consultatif.

Toutefois, ce système voulu par le Maire de Nice, Christian Estrosi, pourrait échapper à la réglementation sur la protection des données personnelles. En effet, le principe de la reconnaissance faciale serait utilisé à des fins de sécurité publique. Cela voudrait donc dire que seul un décret ou une loi pourrait légitimer le recours à ce dispositif. Ce sera donc au gouvernement d’autoriser – ou non – la pratique de cette nouvelle technologie.

Par ailleurs, il faut souligner que la reconnaissance faciale à des fins de sécurité pose des problématiques d’éthique et de protection de la vie privée, cela peut donc porter un grave grief aux individus dont les libertés individuelles se trouvent bafouées.

Le 12 Février 2018, le TGI de Paris a déclaré abusives et illicites les clauses des « Conditions d’utilisation » et des « Règles de confidentialité » de Google. Cette décision est importante dans la mesure où elle affirme que les grands groupes sont obligés de respecter leurs obligations de transparence et de consentement en matière de protection des données personnelles. 

Google avait été assigné par UFC Que Choisir ? qui estimait que les clauses ne respectaient pas la vie privée et les données personnelles des consommateurs.

Le TGI a affirmé que ces clauses étaient régies par le droit de la consommation car le service fourni par Google n’est pas gratuit. En effet, la firme américaine commercialise les données à caractère personnel déposées par les utilisateurs à des entreprises. 

Les clauses des « Règles de confidentialité » procuraient une information générale qui ne permettait pas à l’utilisateur de prendre conscience des finalités réelles du traitement. De ce fait, il ne pouvait mesurer correctement la portée de son engagement en utilisant les services de Google. Le TGI souligne alors l’absence d’information claire et complète, ainsi que la non possibilité pour l’utilisateur de s’opposer aux dépôts systématiques de cookies. Le TGI invalide également la clause autorisant Google au recoupement de l’ensemble des données d’un utilisateur pour une offre de son service sans avoir recueilli préalablement son consentement. 

Concernant les « Conditions d’utilisation » de Google, le TGI invalide les clauses prévoyant que la seule utilisation des services vaut acceptation, et dénonce l’exclusion des dispositions françaises du droit d’auteur au profit de la loi américaine.

Le TGI déclare alors 38 clauses abusives, et condamne le géant du net à 30 000 euros de dommages et intérêts, ainsi que 20 000 euros au titre des frais de justice à l’UFC Que Choisir ?. Google devra placer sur la page d’accueil de son site un lien vers le jugement. 

Le 21 Janvier 2018, la CNIL a prononcé une sanction de 50 million d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Plusieurs associations sont à l’origine de cette sanction. En effet, en mai 2018, la CNIL a reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de l’association La Quadrature du Net (« LQDN »). Celles ci reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

Après avoir enquêté, la CNIL a constaté deux manquements aux dispositions au RGPD :

La CNIL retient un manquement aux obligations de transparence et d’information : les informations fournies par Google ne sont pas facile d’accès pour les utilisateurs. La durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité sont excessivement disséminées dans plusieurs documents. Les informations pertinentes ne sont accessibles qu’après plusieurs étapes, et ne sont pas toujours claires et compréhensibles pour l’utilisateur.

La CNIL retient un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité : le consentement nécessaire au traitement n’est pas valablement recueilli par la firme américaine. Le consentement n’est suffisamment éclairé puisqu’il est dissimulé dans plusieurs documents. Il n’est pas spécifique et univoque car l’utilisateur doit cliquer sur plusieurs options pour accéder au paramétrage de son compte, et donc modifier son compte ; et des choix par défaut sont pré-cochés. Cela contrevient au RGPD car c’est à l’utilisateur de cocher la case de son choix.

La CNIL condamne alors publiquement la société Google à une amende prévue par les nouveaux plafonds du RGPD. Cette sanction est élevée car les manquements retenus perdurent à ce jour et sont des violations continues du RGPD.