La CNIL inflige une amende de 50 millions d’euros à Google
Décision de la CNIL n° SAN-2019-001 du 21 janvier 2019
Par une retentissante décision rendue le 21 janvier 2019, la CNIL a infligé à Google la première véritable sanction « RGPD » : une amende administrative forfaitaire de 50 millions d’euros. Cette décision, très médiatique et extrêmement commentée, marque l’entrée en application des sanctions du RGPD.
La sanction prononcée par la CNIL est intervenue à la suite de deux plaintes « collectives », rassemblant au total 9974 personnes, déposées les 25 et 28 mai 2018 par les associations NOYB (None Of Your Business – association conduite par Maximilien Schrems) et La Quadrature du Net. Les associations reprochaient à Google d’imposer l’acceptation de ses conditions d’utilisation et de sa politique de confidentialité aux utilisateurs d’appareils Android, et de ne disposer d’aucune base légale valide pour les traitements d’analyse comportementale et de ciblage publicitaire.
L’instruction des plaintes a amené la CNIL à se saisir plus globalement du cas Google, en vertu des pouvoirs propres qui lui sont reconnus par le RGPD. La CNIL a ainsi réalisé des contrôles en ligne portant sur le système d’exploitation Android, avant que l’affaire ne soit finalement renvoyée devant la formation restreinte de la CNIL, en charge du prononcé des sanctions.
Plusieurs points de cette décision méritent d’être commentés :
1. La compétence de la CNIL à l’égard de Google
Avant toute défense au fond, Google estimait que seule l’autorité de contrôle Irlandaise (le « Data Protection Commissioner ») pouvait avoir compétence à son égard – en qualité d’autorité « chef de file » – car sa filiale Google Ireland Limited devait être considérée comme « établissement principal » de Google dans l’Union Européenne, au sens du RGPD.
La CNIL considère au contraire que, quand bien même Google Ireland Limited centralise une grande partie des activités économiques de Google dans l’Union Européenne, la notion d’établissement principal suppose de « disposer d’un pouvoir de décisions vis-à-vis des traitements de données à caractère personnel en cause ». Or, jusqu’au 31 janvier 2019, seule Google LLC – la maison mère établie aux Etats-Unis – disposait d’un tel pouvoir en qualité de seul responsable des traitements mis en œuvre en Europe.
Dès lors, la CNIL conclut que Google ne disposait pas en l’état d’un établissement principal dans l’Union Européenne. Mécaniquement, aucune autorité ne pouvait être qualifiée d’autorité « chef de file » à l’égard de cette entreprise, si bien que la CNIL pouvait instruire le dossier et rendre une décision. En outre, la CNIL avait consulté ses homologues européennes et aucune ne s’était désignée comme autorité chef de file.
2. Les manquements identifiés par la CNIL
L’analyse de la CNIL est basée sur l’étude du parcours utilisateur lors de la création et de l’utilisation d’un compte Google, dans le cadre du paramétrage d’un nouvel appareil Android. En l’espèce, la CNIL fonde sa décision de sanction sur deux catégories de manquements :
· Manquement aux obligations de transparence et d’information.
Pour la CNIL, l’information communiquée aux utilisateurs de comptes Google sur le traitement de leurs données personnelles n’est ni suffisamment accessible, ni suffisamment claire.
Accessibilité de l’information : la CNIL relève que les informations dont la communication est rendue obligatoire par l’article 13 du RGPD sont excessivement éparpillées dans un labyrinthe de politiques et conditions diverses applicables aux comptes Google. De plus, lorsque l’utilisateur arrive à la section recherchée, il lui faut encore repérer l’information utile dans une grande quantité de textes, puis recouper et comparer les différents documents disponibles afin de pouvoir se faire une idée claire des conditions du traitement de ses données. La CNIL donne ici deux exemples : cinq clics successifs sont nécessaires avant d’atteindre les sections consacrées aux publicités personnalisées ou à la géolocalisation ; quatre pour la durée de conservation.
Clarté de l’information : la CNIL rappelle qu’une telle appréciation doit être effectuée en considération des traitements analysés. En l’espèce, le nombre de données collectées et de traitements effectués, dans le cadre d’une multitude de services fournis par Google, ainsi que la nature de certains de ces traitements (ex : géolocalisation) permettent de les qualifier de « massifs et intrusifs ».
Partant, la CNIL estime que : (i) les finalités affichées sont trop génériques et pas assez claires (ex : « proposer des services personnalisés en matière de contenu et d’annonces, […] fournir et développer des services ») ; (ii) la description des données collectée est imprécise et incomplète ; et (iii) pour les traitements de personnalisation publicitaire, la base légale utilisée ne semble pas clairement définie.
De manière plus globale, la CNIL reproche à Google de ne pas donner immédiatement aux personnes concernées, au moment de la création de leur compte, une vision globale et claire des traitements mis en œuvre leur permettant d’en comprendre la portée et les implications.
· Manquement à l’obligation de disposer d’une base légale pour la publicité personnalisée
La CNIL estime que le consentement des personnes concernées aux traitements de personnalisation des publicités n’est pas conforme au RGPD, en ce qu’il n’est ni éclairé, ni spécifique, ni univoque.
Consentement éclairé : sur ce point, la CNIL renvoie à ses développements relatifs à l’accessibilité et à la clarté de l’information communiquée aux personnes concernées, qui sont insuffisantes pour que le consentement donné soit valable.
Consentement spécifique et univoque : la CNIL relève que, tout au long du processus de création d’un compte Google, il n’est jamais demandé clairement et spécifiquement aux personnes concernées d’accepter (ou non) le traitement de leurs données aux fins de personnalisation des annonces publicitaires.
Au contraire, la CNIL indique qu’il est nécessaire d’accéder à plusieurs « sous-menus » afin de voir apparaître le réglage correspondant, et, surtout, que la case d’acceptation de ce type de traitement est pré-cochée. Pour la CNIL, le consentement ne découle donc pas d’un acte positif univoque et spécifique de la personne concernée, mais procède au contraire d’une validation « en bloc » et « par défaut » de tous les traitements prévus.
La CNIL indique également, de manière assez étonnante et malheureusement trop elliptique, que la référence à sa recommandation de 2013 relative aux cookies est inopérante afin de juger de la conformité du consentement aux traitements étudiés. L’on comprend que la CNIL souhaite distinguer le consentement à la pose d’un cookie, et le consentement aux finalités que la pose du cookie permet d’atteindre. Cependant, cette distinction théorique semble bien difficile à mettre en œuvre en pratique et amènerait une complexité excessive et regrettable.
Pour cette première décision « RGPD » d’envergure, la CNIL a exploité le retard pris par Google, dont l’organisation européenne ne permettait pas, du moins jusqu’au 31 janvier 2019, de lui reconnaitre un « établissement principal » dans l’U.E. Il est probable que cette décision serve de mode d’emploi aux autres groupes internationaux qui souhaiteraient éviter de tomber sous le joug de la CNIL. En l’espèce, Google a annoncé déposer un recours contre cette décision, devant le Conseil d’Etat.