La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google (eu)

Europe >   Droit privé >  Droit européen >  Protection des données personnelles


Eu flag.png

Bénédicte Deleporte, avocat au barreau de Paris
Février 2019




Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.[1] Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.


L’un des objectifs du RGPD est de donner aux personnes concernées plus de maîtrise sur leurs données personnelles, en renforçant les principes de transparence et de consentement éclairé, grâce à une information préalable claire et compréhensible.


En l’espèce, la décision de la CNIL sanctionne un manque de transparence de la part de Google et met en cause la validité du consentement obtenu à partir d’informations qui “ne sont pas toujours claires et compréhensibles”, ni aisément accessibles pour les utilisateurs.


Les 25 et 28 mai 2018, soit juste après l’entrée en application du RGPD, la CNIL a été saisie de deux plaintes collectives en vertu de l’article 80 du RGPD, déposées pour le compte de près de 10.000 personnes, par les associations None Of Your Business et La Quadrature du Net.


Ces plaintes étaient motivées par le fait que Google traitait les données personnelles des utilisateurs de ses services, notamment à des fins de ciblage publicitaire, sans base juridique valable.


En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google.


Pour ce faire, la Commission a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès, en créant un compte Google au moment de la configuration de son téléphone mobile sous Android.


Sommaire

La compétence de la CNIL pour engager la procédure contre Google

Avant même d’aborder les manquements constatés par la formation restreinte de la CNIL [2] , celle-ci justifie notamment sa compétence pour engager cette procédure contre la société Google.


La société Google contestait en effet la compétence de la CNIL, en soutenant que le siège européen de Google étant situé en République d’Irlande, l’autorité de protection des données irlandaise (Data Protection Commission) était compétente en qualité d’autorité chef de file.


La formation restreinte rappelle que la notion d’établissement principal suppose que l’établissement concerné dispose d’un “pouvoir de décision vis-à-vis des traitements de données à caractère personnel (…)”, et que ce pouvoir de décision comprend “l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.”


Cette notion doit s’apprécier in concreto et ne peut reposer que sur la déclaration de l’entreprise en cause.


En l’espèce, Google ne démontre pas que sa filiale irlandaise disposait d’un pouvoir décisionnel sur les finalités et les moyens des traitements concernés.


Le rôle de Google Ireland Limited se concentrait sur les activités commerciales et financières de Google en Europe.


Par ailleurs, Google Ireland Limited n’était pas mentionnée dans les Règles de confidentialité de la société au 25 mai 2018 (date de l’entrée en application du RGPD), et n’avait pas désigné de délégué à la protection des données (DPO).


La formation restreinte en conclut que Google Ireland Limited ne peut être considérée comme l’établissement principal européen de Google LLC au sens de l’article 4 (16) du RGPD. Elle ne peut donc identifier une autorité chef de file. Après avoir consulté les autres autorités de contrôle européennes et pris en compte les lignes directrices publiées par le CEPD [3], la CNIL se déclare compétente pour engager cette procédure.


Les manquements constatés par la CNIL

Pour établir ses constatations, la formation restreinte a analysé le parcours d’un utilisateur et les documents contractuels auxquels il peut avoir accès, en créant un compte Google lors de la configuration de son téléphone mobile sous Android.


Deux séries de manquements au RGPD ont été constatés :


Un manquement aux obligations de transparence et d’information

Le RGPD repose sur les deux principes fondamentaux de transparence et d’information. La formation restreinte reprend les articles correspondants (art. 12 et 13 notamment) et les applique à la lettre à la procédure de création de compte sur Google.


Selon l’article 12 du RGPD, les informations fournies à la personne concernée doivent être concises, transparentes, compréhensibles, aisément accessibles, et rédigées en termes clairs et simples.


L’article 13 prévoit que le responsable de traitement fournit les informations suivantes à la personne concernée au moment de la collecte des données, à savoir l’identité et les coordonnées du responsable du traitement, le cas échéant les coordonnées du DPO, les finalités du traitement ainsi que sa base juridique, les destinataires des données, le cas échéant, le fait que les données seront transférées vers un pays tiers, etc.


En l’espèce, les informations délivrées par Google aux utilisateurs ne sont pas suffisamment accessibles, claires et compréhensibles.


Certaines informations obligatoires ne sont pas fournies aux utilisateurs : “des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.”


L’architecture générale de l’information, mise en place par Google, rend l’accès à certaines informations clés difficile. Ainsi, même si ces informations sont fournies par Google, elles sont difficiles à trouver car nécessitent de passer de page en page, par plusieurs clics, avant de les atteindre.


La formation restreinte conclut à un défaut global d’accessibilité des informations délivrées par la société.


La formation restreinte met ensuite l’accent sur le caractère “massif et intrusif” des traitements mis en oeuvre par Google.


Elle rappelle que les données collectées par Google à travers ses différents services proviennent de sources très variées : données d’utilisation du téléphone portable (Android), de la messagerie Gmail, de la plateforme de vidéos YouTube, données de navigation sur internet avec les cookies Google Analytics déposés sur des sites tiers, données de géolocalisation…


Ces données relèvent de trois catégories : les données produites par la personne concernée (nom, mot de passe, adresse email, etc.), les données générées par son activité (adresse IP, identifiant uniques de l’utilisateur, données de réseaux mobiles et sans fil, géolocalisation, etc.), et les données dérivées à partir des données produites par la personne ou générées par son activité (ciblage publicitaire sur la base notamment des centres d’intérêt des utilisateurs, à partir de leur activité sur internet, ou recommandations personnalisées).


La formation restreinte considère que les finalités annoncées dans les différents documents sont “trop génériques au regard de la portée des traitements mis en oeuvre et de leurs conséquences.” La description des données collectées est imprécise et incomplète.


Au vu de ces éléments, elle considère que l’utilisateur n’est pas à même de prendre la mesure des conséquences des principaux traitements sur sa vie privée.


Le manque de clarté et la difficulté des utilisateurs à “comprendre l’ampleur des traitements mis en place par Google”, considérés comme “particulièrement massifs et intrusifs” est en partie la conséquence du nombre de services proposés par Google, de la quantité de données collectées ainsi que leur nature.


Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La deuxième série de manquements concerne la validité du consentement.


L’un des principes fondamentaux du droit de la protection des données repose sur la caractère licite du traitement, et particulièrement le consentement de l’utilisateur qui doit être libre, spécifique, éclairé et univoque, et recueilli par un acte positif clair (art. 4 (11) RGPD). Les conditions relatives au recueil et au retrait du consentement figurent à l’article 7 du RGPD.


A ce titre, la CNIL relève que le consentement de l’utilisateur n’est pas valablement recueilli car non suffisamment éclairé, dans la mesure où l’information, telle que l’information sur les traitements de personnalisation de la publicité, est disséminée dans plusieurs documents et parfois difficile à localiser.


La CNIL relève ensuite que le consentement n’est ni “spécifique” car il concerne plusieurs traitements alors que le RGPD implique un consentement distinct pour chaque traitement ou finalité, ni “univoque” dans la mesure où plusieurs cases sont pré-cochées par défaut alors qu’elles devraient être décochées.


La formation restreinte en conclut que le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas donné par un acte positif et distinct pour chacun des traitements mis en oeuvre.


Les motivations justifiant le montant de la sanction

Enfin, la formation restreinte justifie le montant de cette sanction, fixé en application des nouvelles dispositions du RGPD (art. 83), compte tenu de la gravité des manquements constatés, du nombre d’utilisateurs, du nombre de services et du volume de données concernés, et du fait que ces manquements sont continus et non pas délimités dans le temps.


La CNIL rappelle ainsi que “le renforcement des droits des personnes est l’un des axes majeurs du Règlement” et que “les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.”


Les manquements constatés permettent, selon la formation restreinte, de justifier une amende qui, en l’espèce, a été fixée à 4% du chiffre d’affaires de la société Google, soit 50 millions d’euros. Cette amende reste cependant très en deçà du plafond de 20% du chiffre d’affaires mondial de Google (110 milliards de dollars en 2017 pour sa maison-mère, Alphabet), prévu par le RGPD.


La société Google a annoncé sa décision de former un recours devant le Conseil d’Etat.


L’objectif de remplacer la précédente directive d’octobre 1995 par un règlement est d’assurer une approche unifiée du droit de la protection des données personnelles dans l’Union européenne.


A ce titre, la formation restreinte mentionne avoir consulté les autres autorités de contrôle et se réfère à plusieurs reprises dans sa délibération aux lignes directrices du CEPD.


On peut donc s’attendre au développement d’une “jurisprudence” homogène des autorités de contrôle européennes.

Cette première sanction de la CNIL donne un aperçu de l’application effective du RGPD et comment la conformité à la nouvelle réglementation est appréhendée par l’autorité de contrôle, à savoir une interprétation stricte du règlement.


La CNIL sanctionne ici une architecture de l’information trop complexe et peu instinctive pour l’utilisateur, ainsi que des textes souvent rédigés dans des termes peu clairs ou trop généraux.


La difficulté pour Google, comme pour toutes les plateformes proposant plusieurs services, sera de concilier les impératifs de concision, transparence et simplicité de l’information avec ceux de clarté et spécificité du consentement, afin d’être considérée conforme aux dispositions du RGPD, alors même que ces dispositions impliquent des documents contractuels plus longs car plus détaillés. Même si Google a choisi de former un recours contre la délibération de la CNIL, la société devra faire un réel effort de simplification et de transparence de l’information.


Notes

  1. 1 ) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC
  2. 2 La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.
  3. 3 Le comité européen à la protection des données (CEPD, ex-groupe de travail Article 29 ou G29) rassemble les autorités des 28 Etats-membres. Il a notamment pour mission de clarifier la mise en œuvre du RGPD en vue d’assurer une application uniforme du règlement. Ainsi, 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration par le CEPD.