Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

Application du RGPD par la CNIL : précisions et amende record pour Google

La Commission nationale de l’informatique et des libertés (CNIL) a prononcé, le 21 janvier, une sanction pécuniaire de 50 millions d’euros à l’encontre de la société Google LLC. Les traitements opérés par Google ayant pour finalité le ciblage publicitaire sur le système d’exploitation Android ne sont pas conformes aux dispositions RGPD. Sont condamnés le manque de transparence, l’absence d’informations satisfaisantes et le défaut de base légale liée au consentement.

par Nathalie Maximinle 28 janvier 2019

En adoptant, le 27 avril 2016, le règlement général sur la protection des données (RGPD) 2016/679, applicable depuis le 25 mai 2018, l’Europe s’est dotée d’une législation ambitieuse impliquant l’adaptation des droits nationaux et, pour la France la réécriture de la loi « Informatique et libertés » du 6 janvier 2018 (Dalloz actualité, 17 déc. 2018, obs. J.-M. Pastor  ; Dalloz actualité, 26 janv. 2018, art. T. Coustet  ; Dossiers Dalloz IP/IT 2016. 330 ; ibid. 566 ; ibid. 2017. 252 ; ibid. 2018. 458 ). La première sanction pour violation du RGPD vient d’être prononcée par la CNIL. Elle se veut exemplaire : l’amende de 50 millions d’euros est la plus élevée jamais infligée par l’autorité. Si la somme semble dérisoire, son montant maximal pouvant atteindre 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent du contrevenant (Règl.[UE] 2016/679, 27 avr. 2016, art. 83, 5), elle n’en demeure pas moins un sérieux avertissement pour les grands opérateurs. Au-delà du symbole, les trente et une pages de la décision du 21 janvier 2019 livrent quelques enseignements sur la doctrine de la CNIL en la matière.

Les 25 et 28 mai 2018, la CNIL a été saisie de deux plaintes collectives déposées par deux associations représentants 9 974 personnes (Règl. [UE] 2016/679, 27 avr. 2016, art. 80). None Of Your Business reprochait à la société Google LLC d’obliger les utilisateurs de terminaux mobiles Android à accepter la politique de confidentialité et les conditions générales d’utilisation de ses services sous peine de ne pouvoir utiliser leur terminal. Quant à « La Quadrature du Net » (LQDN), elle estimait qu’indépendamment du terminal utilisé, la firme de Montain View ne disposait pas de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire. La CNIL a rejeté les griefs d’irrecevabilité de ces demandes, mais avant de statuer au fond, elle devait confirmer sa compétence.

Compétence

Dès le 1er juin, la CNIL a transmis les réclamations à ses homologues européens afin de déterminer si l’un d’entre eux était compétent en tant qu’autorité de contrôle chef de file. Le RGPD instaure un mécanisme de « guichet unique ». Il permet à l’organisme mis en cause d’avoir pour seul interlocuteur l’autorité de contrôle de l’État où est situé son établissement principal (Règl. [UE] 2016/679, 27 avr. 2016, art. 56, 1). Les échanges engagés dans le cadre de cette procédure n’ont pas permis d’établir que Google disposait d’un établissement principal dans l’Union européenne. Cependant, la société revendiquait expressément cette qualification pour son entité irlandaise. La formation restreinte a donc dû préciser la notion. Elle s’est fondée sur la définition donnée par le RGPD lue à la lumière des lignes directrices du Comité européen de la protection des données (Règl. [UE] 2016/679, 27 avr. 2016, art. 4, 16, consid. 36 ; WP 244, 5 avr. 2017). Elle a considéré que la qualité d’établissement principal supposait l’exercice effectif et réel « d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement ». Cette appréciation se fait « in concreto, au regard de critères objectifs ». Elle a ajouté que les « conclusions ne peuvent reposer exclusivement sur des déclarations de l’organisation ». Puis la formation restreinte a examiné les éléments invoqués par Google. Ils prouvaient l’implication de son entité irlandaise dans ses différentes activités (financières, comptables, vente d’espaces publicitaires, passation de contrats, nombre de salariés employés, etc.). Ils ne confirmaient pas qu’elle disposait d’un pouvoir décisionnel quant aux traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte.

En l’absence d’établissement principal permettant l’identification d’une autorité cheffe de file, la CNIL a pu retenir sa compétence (Règl. [UE] 2016/679, 27 avr. 2016, art. 56, 2).

Périmètre de la décision

Pour instruire les plaintes, la CNIL a procédé à un contrôle en ligne visant à vérifier « le parcours d’un utilisateur et les documents auxquels il pouvait avoir accès lors de la configuration initiale de son équipement mobile » sous Android. L’instruction n’a pas porté sur le ciblage publicitaire imposé sur Youtube, Gmail et Google Search visés par les plaintes de la LQDN.

Manquement aux obligations de transparence et d’information

Premier constat de la Commission, les informations fournies aux utilisateurs ne répondent pas aux exigences d’accessibilité, de clarté et de compréhension imposées par le RGPD et certaines d’entre elles, rendues obligatoires par le Règlement, font défaut (Règl. [UE] 2016/679, 27 avr. 2016, art. 12 et 13). D’une part, la structure de leur présentation a pour conséquence leur éparpillement dans plusieurs documents. Résultat : certains renseignements ne sont accessibles qu’après plusieurs clics, cinq ou six actions étant parfois nécessaires pour en avoir connaissance. D’autre part, les informations fournies ne permettent pas aux utilisateurs de comprendre les conséquences des traitements notamment sur leur vie privée. Concrètement, les finalités sont souvent décrites de manières trop vagues ou trop génériques. En outre, la description des données collectées est imprécise et incomplète. La Commission constate que ce défaut de clarté et de caractère compréhensible est également valable pour la mention de la base juridique des traitements de personnalisation de la publicité. L’intéressé n’est pas en mesure de comprendre qu’ils reposent sur son consentement. Enfin, la formation restreinte relève l’absence d’indication de certaines durées de conservation (Règl. [UE] 2016/679, 27 avr. 2016, art. 13, 2, a).

Absence de base légale

Deuxième constat, alors que Google soutenait que les traitements relatifs au ciblage publicitaire avaient pour base légale le consentement (Règl. [UE] 2016/679, 27 avr. 2016, art. 6), la CNIL relève que celui-ci n’est pas valablement recueilli. Premièrement, il n’est pas suffisamment éclairé : l’information étant éclatée dans de multiples endroits avec des niveaux de lecture imbriqués, la personne concernée ne peut pas avoir conscience de l’ampleur des traitements. Deuxièmement, il n’est ni « univoque » ni « spécifique ». D’une part, l’utilisateur doit faire la démarche de cliquer sur une option pour accéder au paramétrage de son compte. D’autre part, l’affichage des annonces personnalisées est précoché par défaut. Enfin, avant de créer son compte, l’intéressé doit consentir en bloc à toutes les finalités poursuivies par Google alors qu’il devrait pouvoir faire son choix distinctement.

Google a décidé de former un recours contre cette décision devant le Conseil d’État. Il reste qu’en l’état, chaque autorité de contrôle nationale est compétente pour traiter des plaintes dont elles seraient saisies. Cela pourrait entraîner un cumul de sanctions pécuniaires. Pour éviter ce risque, la société a modifié ses règles de confidentialité et a prévu d’organiser un « transfert de responsabilité » vers son entité irlandaise afin que celle-ci soit bien identifiée comme son établissement principal dans l’Union européenne. À suivre…

 

Réagissez à cet article

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.