La décision rendue par la CNIL le 21 janvier a le mérite d’illustrer les enjeux autour du changement de paradigme imposé par le nouveau règlement de la protection des données personnelles (RGPD) (v. Dalloz actualité, Le droit en débats, 25 mai 2018, par O. Tambou ; CNIL, formation restreinte, délib. SAN-2019-001, 21 janv. 2019, v. égal. Dalloz actualité, 28 janv. 2019, obs. N. MaximinGoogle : La CNIL inflige une amende record de 50 millions d’euros au nom du non-respect du RGPD, 21 janv. 2019, par L. Adam). D’autres ont souligné qu’il s’agissait d’une faible somme pour Google (v. Que Choisir, Données personnelles. Pourquoi la CNIL a sanctionné Google si lourdement, 27 janv. 2019, par C. Gruhier) (0,05 % de ses revenus 2017, lesquels s’élevaient à 88 milliards d’euros), voire au regard des plafonds possibles selon le RGPD (Google aurait pu payer jusqu’à 4 milliards €, v. Ma RTS, L’amende de 50 millions d’euros à Google serait impossible en Suisse, 26 janv. 2019, par A. Percept et F. Mestiri). Il est vrai que cette décision de la CNIL était attendue. Elle devait envoyer un message clair de fermeté et d’exemplarité. Ainsi, cette amende n’a pas été précédée d’une classique mise en demeure et concerne un acteur clé du numérique. La position dominante de Google implique une grande responsabilité. Ces éléments qui relèvent surtout du discours sur le droit du RGPD ne doivent pas masquer que le véritable intérêt de cette délibération est sans doute ailleurs. Plus que le montant de la sanction infligée à Google, c’est la teneur des arguments invoqués dans cette longue délibération de 190 points et trente et une pages qui doit retenir toute notre attention. Ces développements mettent en lumière l’ampleur des transformations à l’œuvre du fait de l’harmonisation européenne imposée par le RGPD. La délibération illustre ainsi l’impact structurel et culturel du RGPD sur les acteurs du numérique, qu’ils soient européens ou non.
L’impact structurel du RGPD sur les acteurs
Deux questionnements juridiques témoignent plus particulièrement de cet impact structurel du RGPD. Le premier est relatif à la compétence même de la CNIL pour décider de cette affaire, sachant que le siège européen de la société Google est en Irlande. Le second est relatif à la recevabilité des associations qui ont été à l’origine des plaintes devant la CNIL.
La nécessité pour les acteurs non européens de transférer un centre de décision dans l’Union européenne
L’un des intérêts du RGPD est de permettre aux acteurs non européens du numérique de disposer d’un guichet unique auprès de l’autorité de protection du pays dans lequel ils ont un établissement principal. Pour autant, le simple fait de désigner un siège social européen dans un État membre pour des sociétés implantées hors de l’Union européenne ne suffit pas à faire de ce siège européen un établissement principal. La CNIL considère qu’un établissement principal suppose « l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement » (pt 30). Comme le souligne fort à propos la société Google, une telle conception de l’établissement principal se rapproche de celle de responsable de traitement. Cette approche correspond néanmoins, comme le rappelle la CNIL, à la lettre de l’article 4, (16) du RGPD, précisée par son considérant 36, ainsi qu’à l’interprétation donnée par le Comité européen de la protection des données dans ses lignes directrices du 5 avril 2017 concernant la désignation d’une autorité de contrôle cheffe de file d’un responsable de traitement ou d’un sous-traitant. Il en résulte que tant que la société Google Inc. n’a pas transféré la responsabilité des traitements de données personnelles des « Européens » à sa société Google Ireland Limited, cette dernière ne peut être considérée comme son établissement principal au sens de l’article 4 du RGPD. L’absence d’établissement principal de la société Google en Europe emporte trois conséquences. Premièrement, la CNIL considère qu’elle est compétente pour examiner cette affaire du simple fait que Google dispose d’un établissement en France. Elle peut exercer sur la société Google Inc. l’ensemble des pouvoirs qui lui sont attribués par l’article 58 du RGPD (pt 41). Cela couvre les pouvoirs d’enquête mis en œuvre ainsi que l’amende infligée en l’espèce par la CNIL. Deuxièmement, la CNIL considère qu’aucune difficulté concernant la détermination d’une éventuelle autorité cheffe de file ne se posait en l’espèce. Troisièmement, la CNIL relève qu’elle n’était donc pas obligée de saisir le Comité européen de la protection des données pour trancher cette question conformément à l’article 65 du RGPD. La CNIL ajoute à l’appui de sa thèse l’existence d’un consensus sur ce point avec les autres autorités nationales de protection des données. D’une part, cette conclusion est celle des échanges engagés dans le cadre de la procédure de coopération avec les autres autorités européennes. D’autre part, la CNIL souligne que l’autorité irlandaise elle-même avait publiquement annoncé en août 2018 qu’elle n’était pas l’autorité cheffe de file pour la société Google.
Autrement dit, selon les autorités nationales de protection des données personnelles, l’absence d’établissement principal dans un État membre emporte, pour le responsable de traitements transfrontaliers la possibilité comme avant le RGPD, de se voir contrôler dans l’Union européenne par chacune des autorités nationales. Plusieurs questions restent alors ouvertes. Cette approche implique-t-elle la possibilité d’une multiplication des contentieux nationaux ? Autrement dit, une autre autorité nationale sur le territoire de laquelle Google dispose d’un établissement pourrait-elle également se déclarer compétente pour contrôler ses traitements ? Dans une telle hypothèse, la société pourrait-elle se voir appliquer plusieurs sanctions par plusieurs autorités nationales ? La teneur de ces questionnements permet de comprendre la quasi-nécessité pour les acteurs non européens d’adapter leurs structures actuelles. S’ils veulent bénéficier des avantages du guichet unique, les acteurs américains du numérique devront transférer dans un État membre, leur centre réel de décision sur les traitements concernant les personnes se trouvant sur le territoire de l’Union européenne. Google l’a d’ailleurs bien compris puisqu’un tel transfert devrait se finaliser le 31 janvier 2019 (pt 39).
La reconnaissance européenne des associations militantes
L’affaire en l’espèce a été portée à la connaissance de la CNIL par deux associations dans le cadre de la nouvelle possibilité de plainte collective introduite à l’article 80 du RGPD. Ainsi, les plaintes regroupaient de façon cumulée 9 974 personnes. La recevabilité des plaintes de ces deux associations a été mise en cause par la société Google. Deux points de la réponse de la CNIL méritent attention. D’une part, la CNIL relève à juste titre qu’elle n’a pas réellement à examiner cette recevabilité. Elle peut tout à fait s’autosaisir puisqu’elle a pour mission générale de contrôler l’application du RGPD. D’autre part, la CNIL s’appuie sur la lettre de l’article 80 du RGPD pour constater, de manière surabondante, que ces deux associations remplissent parfaitement les conditions pour déposer une plainte collective. Cela ne faisait pas de doute pour la Quadrature du Net en raison de l’objet statutaire et de l’ancienneté de cette association française. La chose était moins entendue pour l’association de Max Schrems, None of Your Business, association autrichienne créée depuis le 12 juin 2017. En effet, l’article 43 ter de la loi Informatique et Libertés prévoit que seules les associations déclarées depuis cinq ans peuvent introduire une plainte ou un recours collectif. Cette restriction ne figure pas dans la lettre de l’article 80 du RGPD. La CNIL a d’ailleurs alerté en vain le gouvernement français sur cette incompatibilité (v. son avis sur le projet d’ordonnance modifiant la loi Informatique et Libertés, p. 7). Le point 61 de la délibération s’adresse donc aussi indirectement au gouvernement français pour lui rappeler son obligation de retirer cette condition restrictive. Il atteste aussi de la volonté de la CNIL de ne pas en tenir compte.
L’impact culturel du RGPD sur les acteurs
L’intérêt principal de la délibération de la CNIL est de rappeler aux acteurs l’impossibilité de pratiquer des changements cosmétiques dans leurs pratiques de rédaction de leurs clauses de confidentialité et dans leur manière de valider le consentement des individus. C’est une véritable approche européenne de la régulation de la protection des données personnelles qui doit être mise en œuvre. Cette européanisation de la régulation laisse entrevoir une évidente européanisation des contentieux.
La fin annoncée des clauses illisibles de confidentialité
La CNIL s’est livrée à une enquête en ligne minutieuse concernant la documentation (règles de confidentialité et conditions d’utilisation) et les outils de paramétrage (dashboard et chek-up confidentialité) mis à disposition de l’utilisateur par Google. Elle considère que ces informations ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension fixés aux articles 12 et 13 du RGPD. L’ergonomie des différents niveaux d’informations, trop éparpillés, est critiquée. En effet, cinq, voire six actions de l’internaute sont nécessaires pour accéder aux informations relatives à la personnalisation des annonces et à la géolocalisation. La CNIL souligne la nature particulièrement imprécise des formulations expliquant les finalités des traitements. Elle regrette que ces finalités n’opèrent aucune distinction entre les données transmises par la personne (nom, coordonnées, etc.), les données générées par son activité (adresse IP, géolocalisation, etc.) et les données déduites à partir de ces deux premières catégories (ses goûts, ses besoins, par exemple). Ainsi, ces imprécisions ne permettent pas véritablement aux internautes de cerner « l’ampleur des traitements et le degré d’intrusion dans leur vie privée qu’ils sont susceptibles d’emporter » (pt 113). La CNIL constate qu’il n’est pas véritablement précisé pour chaque type de traitement, s’il est fondé sur le consentement de la personne ou l’intérêt légitime de la société. Elle considère également que les outils fournis par Google ne permettent pas toujours d’avoir une information préalable complète. Elle souligne la nécessité d’offrir aux utilisateurs une information continue sur le traitement de leurs données sans action positive de leur part. Il en résulte que la CNIL exige des responsables de traitement qu’ils inventent une information spécifique sur la protection des données reposant sur des outils simples d’utilisation. L’internaute doit comprendre rapidement et sans effort comment, pourquoi et par qui chaque catégorie de ses données personnelles est traitée. Cela demande aux acteurs du numérique de repenser leur business model d’une façon véritablement plus protectrice des données personnelles.
La nécessaire recherche d’un consentement effectif
La CNIL rappelle que, sans information préalable complète, le consentement de l’utilisateur n’est pas suffisamment caractérisé. Il ne peut être considéré comme spécifique, univoque et éclairé, comme l’exige l’article 4 (11) du RGPD. Elle fustige l’emploi de cases précochées par défaut nécessitant d’ouvrir plusieurs pages d’options pour comprendre sur quoi porte le consentement. Le consentement en bloc des traitements pour des finalités détaillées dans une autre page n’est pas possible. Il est nécessaire de prévoir un consentement pour chaque finalité différente de traitement de façon distincte impliquant un acte positif clair de l’utilisateur. Seule une fonctionnalité permettant à l’utilisateur de consentir de manière mutualisée au traitement de ses données ayant des finalités proches semble être envisageable (pt 160).
La nécessaire approche européenne de la régulation
La lecture de la délibération atteste dans son ensemble de l’importance de la régulation européenne. Ainsi, la CNIL rappelle à de multiples reprises les pouvoirs et missions qu’elle tire désormais aussi du droit européen. C’est le sens des développements sur le caractère proportionné de la sanction de 50 millions d’euros. La CNIL souligne que les dispositions concernées (art. 6, 12 et 13 du RGPD) comportent des obligations essentielles dont la violation est particulièrement grave. Elle constate le caractère continu de ces violations qui perdurent et le fait que le nombre de personnes concernées est particulièrement important (des millions d’utilisateurs selon elle). Pour autant, il est surprenant que la CNIL n’évoque pas ici les lignes directrices sur l’application et la fixation des amendes administratives du Comité européen de la protection des données. Cet oubli volontaire est d’autant plus étonnant que, tout au long de sa délibération, la CNIL a pris le soin de constamment citer les lignes directrices européennes pertinentes, telles que celles sur le consentement, la transparence et la désignation de l’autorité cheffe de file.
Enfin, comme il l’a été dit, la délibération incite les acteurs à mettre en œuvre des solutions de régulation pour répondre aux exigences de transparence, d’information et de consentement. Sans que le mot soit prononcé, on pense nécessairement à des outils innovants déclinés selon la logique de la protection des données dès la conception ou de la protection des données par défaut.
L’évidente européanisation du contentieux
Si la motivation de la CNIL est claire, elle repose essentiellement sur son interprétation du RGDP à la lumière des lignes directrices du Comité européen de la protection des données. Aussi, cette européanisation de la régulation emporte inévitablement une européanisation des contentieux. Google a fait appel de la décision de la CNIL devant le Conseil d’État. Dans son communiqué de presse, la société se dit préoccupée par l’impact de cette décision sur « les éditeurs, les créateurs de contenu original et les sociétés de technologie en Europe et ailleurs ». Face à l’ampleur des enjeux, il est probable que le Conseil d’État décide de faire valider certains points devant la Cour de justice de l’Union européenne.
