#RGPD : La CNIL inflige une amende à Google pour manque d’information et défaut de consentement

#RGPD : La CNIL inflige une amende à Google pour manque d’information et défaut de consentement

Par Alric Hürstel, Jean-Philippe Souyris et Axelle Poujol

Le 21 janvier 2019, la CNIL a adressé une amende d’un montant de 50 millions d’euros à l’encontre de Google (soit près de 4 fois le montant de l'impôt sur les sociétés payé par Google en France en 2017), considérant que le ciblage publicitaire que la société réalise sur son système d’exploitation Android n’est pas conforme au RGPD.

La formation restreinte de la CNIL a sanctionné Google à hauteur de 50 millions d’euros[1]. Cette délibération[2] symbolise la première sanction par la CNIL sur le fondement du Règlement européen sur la protection des données (RGPD), en application depuis le 25 mai 2018.

1. L’instruction de plusieurs plaintes collectives déposées par des associations

Mai 2018, la CNIL reçoit des plaintes collectives de deux associations de défense des droits et des libertés dans l’environnement numérique.

  • L’association None Of Your Business (NOYB) indique que les utilisateurs de terminaux Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google, faute de quoi ils ne pourraient pas utiliser leur appareil ;
  • L’association La Quadrature du Net (LQDN) estime que Google ne dispose pas de base juridique valable pour traiter les données personnelles des utilisateurs de ses services à des fins de personnalisation de la publicité.

Mandatées par des milliers de personnes, ces associations reprochent à Google plusieurs manquements à la législation européenne en matière de protection des données. 

2. La compétence de l’autorité de contrôle française

Sur l’absence d’établissement principal de la société Google en Europe

Afin de garantir la bonne application des dispositions issues du RGPD, des règles de compétence existent entre les autorités de contrôle des différents Etats membres.

Par principe, ces autorités sont compétentes pour exercer leurs pouvoirs et leurs missions sur le territoire de l’Etat membre dont elles relèvent. En cas de traitement transfrontalier de données, c’est l’autorité de l’Etat membre sur lequel est situé l’établissement principal ou le seul établissement du responsable de traitement qui sera l’autorité de contrôle chef de file[3].

En l’espèce, Google soutient que son établissement principal en Europe est situé en Irlande et conteste donc la compétence de la CNIL, estimant que cette dernière aurait dû transmettre les éléments de contrôle à l’autorité irlandaise.

Toutefois, l’établissement de Google situé en Irlande ne présentait pas les critères d’un établissement principal[4]. En conséquence, en l’absence d’établissement principal de Google permettant l’identification d’une autorité chef de file[5], la CNIL s’est déclarée compétente pour engager une procédure et exercer l’ensemble de ses pouvoirs.

Sur l’application des procédures de coopération et de cohérence

Google conteste le respect des procédures de coopération et de cohérence prévues par le RGPD et fait valoir que la CNIL n’a pas saisi le CEPD (Comité Européen de la protection des Données) pour déterminer l’autorité compétente pour être chef de file.

En réponse, l’autorité de régulation française considère que, faute d’établissement principal de Google, la désignation d’une autorité chef de file n’a pas lieu d’être. Par ailleurs, elle fait valoir que ses homologues européens n’ont pas jugé utile de saisir le CEPD pour désigner une autorité chef de file, alors même qu’ils ont pu avoir connaissance de toutes les informations.

Au vu de l’ensemble de ces éléments, la CNIL n’était pas tenue de saisir le CEPD et les procédures de coopération et de cohérence ont bien été respectées, de sorte que sa compétence est établie.[6]

3. Le périmètre de l’enquête

Contestant le spectre des investigations, Google soutient que :

  • Le rapporteur a confondu le système d’exploitation Android et le compte Google alors qu’il s’agit de services distincts mettant en œuvre des activités de traitements différentes ;
  • L’étendue du contrôle choisie par la CNIL (la création d’un compte Google lors de la configuration d’un nouvel appareil utilisant le système d’exploitation Android) est limité car représentant un cas de figure ne concernant que 7% des utilisateurs.

Après avoir rappelé qu’elle ne conteste pas l’existence de services distincts mettant en œuvre des activités de traitements différentes, la CNIL constate tout d’abord que « les faits couverts par les investigations correspondent au scénario retenu pour effectuer le contrôle en ligne, à savoir le parcours d’un utilisateur et les documents auxquels il pouvait avoir accès lors de la configuration initiale de son équipement mobile utilisant le système d’exploitation Android » et que « ce parcours incluait la création d’un compte »[7].

La délibération indique ensuite que lors de ce parcours, si l’utilisateur n’est effectivement pas obligé de créer un compte Google pour utiliser tous les services de l’entreprise, cette création lui est proposée naturellement au moment de la configuration de son appareil et elle lui est fortement recommandée par la suite. Dès lors, l’autorité considère que le parcours crée « un continuum d’usage entre les traitements opérés par le système d’exploitation et ceux opérés au travers du compte Google, et justifie le scénario retenu pour le contrôle en ligne »[8].

Enfin, la CNIL estime que les utilisateurs qui configurent leur mobile sous Android en y associant un compte déjà existant se trouvent dans la même situation que les utilisateurs procédant à la création d’un compte s’agissant de l’information qui leur est communiquée. Elle écarte donc l’argument de l’entreprise selon lequel le cas de figure choisi est très limité, rappelant ainsi son large pouvoir d’appréciation s’agissant du périmètre des contrôles qu’elle entreprend

4. Les manquements constatés par la CNIL

A partir des éléments d’investigation, plusieurs manquements à la législation européenne de protection des données de la part de Google ont été relevés.

A. Un manquement aux obligations de transparence et d’information

Le RGPD impose aux responsables de traitement des obligations de transparence et d’information à destination des personnes concernées. Ces obligations impliquent notamment que les informations délivrées par le responsable de traitement soient accessibles, claires et compréhensibles.Google sanctionnée par la CNIL

- S’agissant de l’accessibilité aux informations délivrées par Google à ses utilisateurs, l’obligation d’accessibilité repose en partie « sur les choix ergonomiques faits par le responsable de traitement ». Or l’architecture générale de l’information choisie par Google ne permet pas de respecter cette obligation d’accessibilité : l’autorité considère en effet que les informations sont disséminées de manière excessive dans plusieurs documents, lesquels comportent des boutons et des liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. Prenant pour exemple les traitements de personnalisation de la publicité et de géolocalisation, la décision relève que compte tenu de cette architecture, certaines informations sont difficilement trouvables, ce qui démontre un défaut global d’accessibilité des informations délivrées par la société dans le cadre des traitements en cause[9];

- S’agissant de la clarté et de la compréhension, ces critères s’apprécient en tenant compte de « la nature de chaque traitement en cause et de son impact concret sur les personnes concernées »[10]. Après avoir fait état du caractère massif et intrusif des traitements mis en cause, la délibération énonce que :

  • les données traitées par l’entreprise proviennent de sources extrêmement variées,
  • les données traitées relèvent de trois catégories différentes,
  • la nature même de certaines données, telles que les données de géolocalisation, renforce le constat du caractère intrusif et massif des traitements opérés.

Par ailleurs, certaines informations délivrées ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences et l’impact des traitements. L’autorité indique notamment que les finalités des traitements sont décrites de façon trop vague. En conséquence, les exigences de clarté et de compréhension prévues par le RGPD ne sont ici pas respectées[11] ;

- S’agissant de l’absence de certaines mentions obligatoires, la formation restreinte relève notamment l’absence de l’indication de la durée de conservation de certaines données et l’absence d’indication de la base légale de certains traitements.

Au regard de l’ensemble de ces éléments, un manquement aux obligations de transparence et d’information prévues aux articles 12 et 13 du RGPD est caractérisé[12].

B. Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

Outre les conditions relatives aux données traitées, un traitement doit s’appuyer sur une base légale (consentement d’une personne, exécution d’un contrat, intérêts légitimes du responsable de traitement, etc.) pour être licite. Ainsi, lorsqu’un traitement est fondé sur le consentement des personnes concernées, le RGPD impose que ce consentement soit éclairé, spécifique, libre et sans équivoque et que son recueil puisse être valablement démontré par le responsable de traitement.

Pour traiter les données de ses utilisateurs à des fins de personnalisation de la publicité, Google affirme s’appuyer exclusivement sur le recueil de leur consentement. Or il lui est reproché de ne pas recueillir valablement le consentement des personnes concernées pour pouvoir effectuer un tel traitement.

L’autorité de contrôle française a considéré que :

  • l’information sur les traitements réalisés n’est pas suffisamment explicite : le consentement de l’utilisateur ne pouvait être éclairé[13];
  • lorsque l’utilisateur crée un compte, il est invité à cocher des cases validant un ensemble d’informations : cette acceptation « en bloc » conduit à ce que le consentement ne soit pas donné de manière distincte pour chaque finalité, de sorte qu’il n’est pas spécifique;
  • certaines cases, notamment pour la personnalisation de la publicité, sont pré-cochées par défaut. L’utilisateur n’effectue donc pas un acte positif (cocher lui-même la case), condition requise pour pouvoir apporter la preuve d’un consentement donné sans équivoque[14]: le consentement n’est pas donné sans équivoque.

La formation restreinte de la CNIL a donc considéré que le consentement sur lequel se fonde la société pour les traitements de personnalisation de la publicité n’est pas valablement recueilli[15], de sorte que Google a commis un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité, prévue aux articles 6 et 7 du RGPD.

5. La sanction prononcée et sa publicité

Au vu des manquements constatés, de leur caractère continu, de leur gravité et de l’importance de Google sur le marché français, la CNIL a prononcé le 21 janvier 2019 une sanction pécuniaire de 50 millions d’euros à son encontre[16] et la publicité de sa décision, considérant que la société Google avait une responsabilité particulière du fait de son omniprésence sur le marché français.

Cette décision est désormais susceptible de recours devant le Conseil d’Etat jusqu’au 21 mai 2019.

 

RGPD, fake news, e-réputation : le vent tourne pour les GAFA !

 

A l’heure où les traitements de données sont de plus en plus complexes et combinés, et s’appuient sur des données collectées par des acteurs tels que Google ou Facebook, il devient de plus en plus difficile de fournir une information claire et accessible. C’est pourtant un objectif essentiel pour permettre une meilleure maitrise des utilisateurs sur leurs données et ainsi augmenter leur niveau de confiance.

Les conditions d’utilisations et politiques de confidentialité doivent être revues à l’aune de ces principes, de même que le parcours utilisateur, afin de mettre en œuvre une information et une collecte du consentement conformes au RGPD.

Vous souhaitez en savoir plus ?

Cliquez ICI

 

 

[1]https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la

[2] https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf

 

[3] Règlement (UE) n°2016/679, art. 56

[4] A savoir « l’exercice effectif et réel d’activités de gestion dans les décisions principales quant aux finalités et aux moyens du traitement dans le cadre d’un dispositif stable » (Règlement (UE) n°2016/679, cons. 36).

[5] Selon le considérant 40 de la délibération, la société Google Ireland Limited ne pouvait être considéré comme l’établissement principal de la société Google LLC en Europe au sens de l’article 4 du RGPD.

[6] Délibération n°SAN-2019-01, cons. 49 et 55

[7] Délibération n°SAN-2019-01, cons. 77 et 78

[8] Délibération n°SAN-2019-01, cons. 79 à 81

[9] Délibération n°SAN-2019-01, cons. 98 et 103

[10] Délibération n°SAN-2019-01, cons. 104

[11] Délibération n°SAN-2019-01, cons. 110

[12] Délibération n°SAN-2019-01, cons. 128

[13] Délibération n°SAN-2019-01, cons 148

[14] Délibération n°SAN-2019-01, cons 161

[15] Délibération n°SAN-2019-01, cons 167

[16] En cas de manquement, le RGPD prévoit des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires mondial d’une entreprise.

Alric Hürstel

Auteur Alric Hürstel

Suivez-nous sur Linkedin

Catégories

Derniers tweets

Besoin d'une réponse
à vos questions juridiques ?

Demande de devis

Consultation téléphonique