Affaire Google c. CNIL : le Conseil d’État confirme la sanction record de 50 millions d’euros

Visée par deux plaintes d’associations très actives en matière de défense des droits des consommateurs (None Of Your Business [NYOB] et La Quadrature Du Net [LQDN]), la société Google, en charge d’Android, système d’exploitation leader du marché, avait été condamnée le 21 janvier 2019 à une sanction pécuniaire inédite de 50 millions d’euros par la CNIL (v. Dalloz actualité, 28 janv. 2019, obs. N. Maximin). Un an et demi plus tard, le 19 juin 2020, le Conseil d’État clôt définitivement cette procédure, confirmant l’ensemble des griefs formulés à l’encontre de la multinationale et jugeant le montant de la condamnation proportionné aux manquements constatés.

Google promeut à destination des entreprises et des internautes une large palette de services, parmi lesquels Android, dominant le marché en France loin devant son principal concurrent iOS (Apple), et une régie publicitaire pour afficher de la publicité contextualisée. Ces deux services avaient précisément fait l’objet du recours formé par NYOB et LQDN devant la CNIL, aux motifs, d’une part, d’une absence de transparence et d’exhaustivité des informations communiquées aux utilisateurs d’Android lors de leur inscription au service et, d’autre part, d’une qualité insuffisante du consentement requis pour fonder les traitements de données personnelles. Loin de modérer l’ardeur de l’autorité de régulation, le Conseil d’État, dans sa décision du 19 juin 2020, valide en tous points son analyse et envoie par là même un signal fort (uniquement juridique ou également politique ?) d’une relative fin d’impunité aux GAFAM et autres géants de la tech.

Compétence reconnue de la CNIL à l’issue d’une procédure régulière

La première cartouche de Google a été dirigée contre la compétence territoriale de la CNIL, la société soutenant que, s’agissant d’un traitement transfrontalier de données personnelles, l’autorité compétente, dite « chef de file », doit être celle du lieu de l’établissement principal (ou unique) du responsable de traitement sur le territoire de l’Union, en vertu de l’article 56 du règlement général sur la protection des données (règl. [UE] 2016/679, 27 avr. 2016, dit RGPD). Une manière pour Google de dessaisir la CNIL au profit de l’autorité irlandaise, la Data Protection Commission (DPC), considérant son établissement de Dublin comme le siège social de ses opérations européennes (à l’inverse de la DPC elle-même, qui, probablement pour désamorcer ce type de conflits, avait publiquement indiqué ne pas être l’autorité chef de file s’agissant des opérations de Google en Europe). Sollicité sur ce point précis par une CNIL diligente, le Comité européen de protection des données (CEPD) avait confirmé l’impossibilité de caractériser une administration centrale de Google dans l’Union imposant la désignation d’une autorité chef de file.

Le Conseil d’État confirme l’absence de pouvoir décisionnel de l’établissement irlandais vis-à-vis des autres filiales européennes, les moyens et finalités des traitements de données personnelles étant déterminés outre-Atlantique. Il juge inapplicable les mécanismes de l’autorité chef de file de l’article 56 et applique, dans pareil cas, l’article 55 conférant compétence de chaque autorité nationale pour faire respecter le RGPD sur son territoire ; dès lors, la procédure entièrement diligentée par la CNIL n’est entachée d’aucune irrégularité.

Ce point procédural revêt une importance cruciale pour les géants américains, dont la constitution du siège social en Europe répond, en partie du moins, à des stratégies de forum shopping, cherchant la compétence de la juridiction a priori la plus favorable à ses intérêts. En appliquant l’article 55, le Conseil d’État s’attache à décrypter la réalité opérationnelle de ce géant du numérique et concourt à l’effectivité de l’application du RGPD évitant les débats procéduraux relatifs à l’autorité chef de file.

L’absence de méconnaissance des droits de la défense

Google reprochait à la CNIL de n’avoir eu le temps de préparer utilement sa défense au cours des deux mois et demi (dont une extension de quinze jours par rapport aux délais classiques) de procédure et de ne pas bénéficier d’extension de délais en raison de sa domiciliation en dehors de la France métropolitaine.

Ces deux prétentions ont été rejetées par le Conseil d’État, estimant la société « à même de préparer et de présenter utilement sa défense », les conclusions écrites de celles-ci ayant été complétées par des observations orales lors de la séance de la formation restreinte.

Les délais accordés dans ce contexte sont effectivement très brefs, notamment par rapport à ceux en vigueur devant les juridictions judiciaires, et permettent aux interventions de la CNIL visant à sanctionner des manquements au RGPD d’être particulièrement rapides ; cette brièveté impose, il est vrai, une diligence très significative des acteurs devant organiser leur défense.

Des manquements graves au droit de la protection des données personnelles préjudiciables aux utilisateurs Android

Les manquements aux articles 13 et 6 du RGPD sont confirmés.

Un défaut de transparence et d’accessibilité des mentions d’information

Aux fins d’éclairer les utilisateurs d’Android sur les modalités de mise en œuvre des traitements portant sur leurs données personnelles, et à la lumière du volume d’informations à communiquer en vertu de l’article 13 du RGPD, Google propose lors de la création du compte une architecture en escalier « à partir d’une approche à plusieurs niveaux », conformément aux préconisations du CEPD (Lignes directrices WP260 sur la transparence, version révisée du 11 avr. 2018) : un niveau d’information basique présentant les finalités de manière générale est complété par des liens hypertextes plus exhaustifs et des modalités de paramétrage de la confidentialité du compte.

Rappelons à cet effet que l’article 12 du RGPD enjoint au responsable de traitement de communiquer les informations « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». En lien avec ces exigences strictes, le Conseil d’État considère l’arborescence voulue par Google comme étant de nature à éparpiller les informations et à nuire à leur clarté et accessibilité, « alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées ». Notamment, le premier niveau d’information est jugé trop général, le second niveau trop difficilement accessible, six actions étant requises pour obtenir des éléments exhaustifs, l’indication des durées de conservation apparaissant à la soixante-huitième page du document « Règles de confidentialité » peu lisible.

Dans le sillage de la CNIL, le Conseil d’État sanctionne ici une pratique courante des grands acteurs en ligne, consistant à disséminer les informations de manière à ce que leur recoupage par la personne concernée soit rendu (quasiment) impossible, a fortiori pour un néophyte. Ainsi, il ne suffit pas aux informations d’être mises à disposition par le responsable de traitement, elles doivent l’être sous une forme et selon des modalités en permettant une prise de connaissance effective.

Un consentement de qualité insuffisante entraînant un défaut de base légale des traitements de contextualisation de la publicité

La question du consentement de l’internaute aux fins de fourniture d’une publicité personnalisée, sur laquelle une majorité de services en ligne fonde leur business model, n’en finit plus de provoquer des remous, à l’image des normes récemment édictées par la CNIL en matière d’acceptation des cookies et partiellement censurées par le Conseil d’État dans une décision également rendue le 19 juin 2020 (CE 19 juin 2020, req. n° 434684, Dalloz actualité, 25 juin 2020, obs. M.-C. de Montecler).

Le Conseil d’État rappelle ainsi l’exigence de caractériser « une manifestation de volonté libre, spécifique, éclairée et univoque » conformément aux dispositions de l’article 4.11 du RGPD (laquelle est, contrairement aux allégations de Google, définie de manière identique, quelle que soit la typologie de données concernées, sensibles ou non). N’est donc pas considéré comme valable le consentement de l’utilisateur Android à la personnalisation des annonces, dès lors que :

• d’une part, les informations communiquées au regard de cette finalité sont trop peu spécifiques et diluées parmi d’autres finalités fondées sur une autre base légale (en lien avec le défaut d’information évoqué ci-avant) ;

• et, d’autre part, l’utilisateur doit accéder au second niveau d’information pour être en mesure d’exprimer son consentement, par ailleurs au moyen d’une case précochée, laquelle ne permet pas l’expression d’un consentement valable (RGPD, consid. 32 ; v. égal. les lignes directrices WP259 sur le consentement du 10 avr. 2018.).

Finalement, selon le Conseil d’État, « la formation restreinte n’était pas tenue de définir précisément les obligations pesant sur la société requérante en matière de consentement, lesquelles découlent directement du RGPD » – un positionnement de nature à laisser les responsables de traitement dans un certain embarras et très seuls dans leur démarche de conformité « post-sanctions », tant sont complexes les choix ergonomiques conciliant tout à la fois les contraintes opérationnelles et celles du RGPD. Ainsi, le Conseil d’État ne juge pas utile de voir la CNIL concilier les différents pouvoirs dont elle dispose, et notamment son pouvoir de sanction avec celui visé à l’article 57.1, d, du RGPD, par lequel elle « encourage la sensibilisation des responsables de traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent » en vertu du RGPD.

Une sanction proportionnée a l’étendue des violations du RGPD et aux ressources de l’entreprise

Si, en vertu des exigences de régularité de la procédure et de garanties des droits de la défense, toute sanction doit être motivée en droit et en fait, le Conseil d’État rappelle néanmoins que rien n’impose à la CNIL de justifier le montant des amendes administratives prononcées. Aucun élément chiffré ou critère de détermination de ce montant inédit ne sera communiqué à Google, celui-ci étant laissé à l’entière appréciation de l’autorité de régulation, dans les limites imposées par le RGPD, soit au maximum 20 millions d’euros ou 4 % du chiffre d’affaires consolidé compte tenu des manquements constatés.

Tout au plus, le Conseil d’État confirme qu’« eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD et à la situation financière de la société », la sanction est justifiée, sans apporter davantage de précisions.

Pourtant, la juridiction administrative suprême, tenant compte des circonstances de l’espèce, avait la possibilité de moduler ce montant. Par exemple, dans l’affaire Optical Center, le Conseil d’État, concluant à une disproportion de l’amende administrative en tenant compte de « la célérité avec laquelle la société […] a adopté les mesures correctrices de nature à remédier aux manquements constatés », l’avait réduite de 250 000 € à 200 000 € (soit une réduction de 20 %) (CE 17 avr. 2019, req. n° 422575, Lebon ; AJDA 2019. 1786 ; Dalloz IP/IT 2019. 276, obs. N. Maximin ; ibid. 577, obs. C. Galichet ; Légipresse 2019. 261 et les obs. ).

Au contraire, dans la présente procédure, Google s’est arc-boutée sur ses positions, plaidant avant tout pour un dessaisissement de l’autorité française au profit de celle irlandaise, la pensant a priori plus à même de satisfaire ses intérêts, et probablement dépourvue de l’esprit collaboratif qui avait somme toute profité à Optical Center.

L’approche « One size fits all » déployée par les acteurs américains, en conquête de marchés extérieurs, trouve dans cet arrêt une limite remarquable.