Ces contrôles ont révélé divers manquements comme la collecte de données Wi-Fi à l’insu des personnes concernées et la captation de données dite "de contenu" (identifiants, mots de passe, données de connexion, échanges de courriels). La CNIL a donc mis en demeure la société GOOGLE, en mai 2010, de régulariser sa situation. Estimant qu’il n’avait pas été répondu à ses demandes dans les délais impartis, la formation contentieuse de la CNIL a prononcé à l’encontre de la société, le 17 mars 2011, une amende de 100 000€

Depuis 2007, la société GOOGLE déploie dans le monde entier des véhicules dits Google cars. Ces véhicules enregistrent des vues panoramiques des lieux parcourus, afin de proposer aux internautes son service Street View.

Des contrôles effectués fin 2009 et début 2010 ont permis à la CNIL de constater que les véhicules déployés sur le territoire français captaient et enregistraient non seulement des photographies, mais aussi des données transitant par les réseaux sans fil Wi-Fi de particuliers, et ce à l’insu des personnes concernées. Il s’avère que c’est précisément cette collecte de dizaines de milliers de points d’accès Wi-Fi par le biais des "Google cars" qui a permis à la société de développer une base de données de géolocalisation extrêmement performante, et d’acquérir ainsi une position dominante dans le secteur des services de géolocalisation.

En avril 2010, GOOGLE a déclaré dans la presse internationale ne collecter aucune donnée de contenu de communications à l’occasion de la circulation de ses véhicules. Revenant sur ses déclarations initiales, la société a reconnu deux semaines plus tard par voie de presse qu’elle avait effectivement enregistré de telles données.

Compte-tenu de la gravité des faits et du risque d’atteinte à la vie privée des utilisateurs des réseaux Wi-Fi concernés, la CNIL a mis en demeure la société, le 26 mai 2010, de cesser toute collecte de données à l’insu des personnes et de lui fournir une copie de l’intégralité des données de contenu captées sur le territoire national. GOOGLE ayant communiqué ces données de contenu, la CNIL a ainsi été la première autorité au monde à pouvoir les analyser.

L’analyse menée sur ces données par la CNIL a permis de constater que GOOGLE avait enregistré, outre des données techniques (identifiants SIID et adresses MAC des points d’accès Wi-Fi), de nombreuses données concernant des particuliers, identifiés ou identifiables (données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle ou la santé des personnes).

Dans sa décision du 17 mars 2011, la formation contentieuse de la CNIL relève que GOOGLE a pris l’engagement de cesser la collecte de données Wi-Fi par ses "Google cars" et de supprimer les données de contenu enregistrées selon elle par erreur. En revanche, elle constate qu’elle n’a pas renoncé à utiliser les données identifiant les points d’accès Wi-Fi de particuliers à leur insu. En effet, cette collecte n’est aujourd’hui plus réalisée par les "Google cars", mais s’opère directement par le biais des terminaux mobiles des utilisateurs se connectant au service de géolocalisation Latitude (smartphones, etc.), et ce à leur insu. La CNIL considère que ce défaut d’information constitue une collecte déloyale au sens de la loi, qui était déjà à l’œuvre avec les "Google cars".

La formation contentieuse estime en outre que les réponses apportées par la société GOOGLE à la suite de la mise en demeure sont insuffisantes, celle-ci ne lui ayant toujours pas fourni les éléments du programme informatique ayant conduit à la collecte des données Wi-Fi, contrairement à sa demande en ce sens.

Enfin, elle reproche à GOOGLE de contester l’application de la loi française au service Latitude, et d’avoir ainsi refusé de déclarer à la CNIL malgré deux demandes en ce sens.

Dans ces conditions, compte tenu des manquements constatés et de leur gravité, ainsi que des avantages économiques que retire la société GOOGLE de ces manquements, la formation contentieuse de la CNIL a décidé de prononcer à son encontre une sanction pécuniaire de 100 000 €.