Auteurs : Laurent Goutorbe et Paul BERTUCCI, HAAS Avocats

A propos de Conseil d’Etat, 19 juin 2020 (n° 430810)

Détenant entre 75 et 80% des parts de marché avec son système d’exploitation Android, Google domine de manière considérable le secteur des OS pour smartphones.

Pour autant, le géant américain a récemment vu la sanction de la CNIL à son encontre être confirmée par le Conseil d’Etat pour cause de violation du RGPD. D’un montant de 50 millions d’euros, cette amende constitue encore à l’heure actuelle un record vis-à-vis des autres autorités européennes de protection des données personnelles.

Les faits : manque de transparence et absence de consentement

A la suite de deux plaintes déposées par des associations protectrices des droits des internautes – None of Your Business et La Quadrature du Net – auprès de la CNIL, cette dernière avait le 21 janvier 2019 prononcé une sanction de l’ordre de 50 millions d’euros contre Google pour manque de transparence, information insatisfaisante et absence de consentement valable des personnes pour la personnalisation de la publicité dans le cadre de son OS Android.

Il était d’abord reproché à Google de ne pas fournir des informations suffisamment claires et facilement accessibles aux utilisateurs lors de la création d’un compte Google pour pouvoir utiliser le système Android, dans la mesure où les informations n’étaient pas rédigées de manière assez précise et où l’accès à certaines informations nécessitaient un effort de recherche particulier pour l’utilisateur.

Le traitement des données personnelles en vue de personnaliser la publicité pour l’utilisateur était également pointé du doigt par la CNIL. Cette dernière considérait en effet que le consentement des utilisateurs d’Android n’était pas valable, puisque le recueil du consentement s’effectuait par l’intermédiaire d’une case cochée par défaut.

La décision du Conseil d'Etat à l'encontre de Google

Saisi par Google d’une requête visant à annuler la décision de la CNIL, le Conseil d’Etat a validé l’ensemble des éléments de droit soulevés par la CNIL, et dans le même temps estimé que l’amende de 50 millions d’euros n’était pas disproportionnée.

Les juges valident l’atteinte portée par Google aux articles 12 et 13 du RGPD qui imposent notamment au responsable du traitement des données une obligation d’information transparente, compréhensible, aisément accessible et en des termes clairs et simples à l’égard des utilisateurs concernés.

Ils considèrent à cet égard que les informations mises à disposition par Google ne répondent pas aux règles précitées, alors même que les traitements de données opérés par Android sont particulièrement intrusifs par leur nombre (diverses applications éditées par Google) et par la nature des données collectées.

Le Conseil d’Etat confirme également l’atteinte portée au recueil du consentement des utilisateurs d’Android au regard de l’article 6 du RGPD. Les juges ont considéré que le fait de placer l’information relative au ciblage publicitaire parmi des informations renvoyant à d’autres finalités de traitement ne peut permettre, à l’utilisateur, de donner un consentement libre et éclairé concernant le traitement de ses données personnelles à des fins de publicité personnalisée. Enfin, le Conseil d’Etat a pu estimer que le paramétrage par défaut du consentement via une case pré-cochée ne peut en aucun cas caractériser un consentement valable.

Portée de la décision

Cette décision peut avoir de quoi inquiéter les GAFAM.

En effet, Google soulevait dans ses moyens de défense l’incompétence de la CNIL française et prétendait que seul la Data Protection Commission irlandaise pouvait prononcer une telle sanction, en raison de l’établissement du siège de sa filiale dans ce pays.

Le Conseil d’Etat a écarté ces arguments en estimant que la filiale irlandaise de Google ne disposait ni d’un pouvoir de contrôle ni de décision sur le traitement des données, la holding américaine détenant exclusivement ces derniers. Partant de là, la CNIL était parfaitement compétente pour sanctionner les manquements au RGPD de la part de Google.