Actualités

RGPD : La CNIL sanctionne Google à 50 millions d'euros

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD (Règlement UE 2016/679 du 27 avril 2016) pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. C’est la première fois qu’un des géants du Web américain est sanctionné dans le cadre du RGPD, et également la plus lourde sanction jamais prononcée par la CNIL.

EN SAVOIR PLUS SUR LE RGPD

Les plaintes collectives déposées à l’encontre de Google

Les associations « None Of Your Business » (« NOYB ») et « La Quadrature du Net » (« LQDN ») n’ont pas perdu de temps.

Le 25 mai 2018 (soit le jour de l’entrée en application du RGPD) et le 28 mai 2018, ces dernières ont déposé des plaintes collectives, reprochant notamment à Google de ne pas disposer d’une base juridique valable pour traiter les données à caractère personnel des utilisateurs de ses services. notamment à des fins de publicité ciblée.

Les plaintes de LQDN et de NOYB ont réuni près de 10 000 signatures.

Un nombre conséquent de manquements étaient reprochés à Google et ses services.

A cet égard, il convient de rappeler que la décision ici rendue concerne plus spécifiquement Android, et sa procédure d’activation, qui était le point central de la plainte déposée par NOYB.

 Les faits reprochés : la procédure d’activation d’Android

Les plaintes déposées par les deux associations ont été déposées à l’encontre de l’ensemble des services proposés par Google. L’autorité de contrôle européenne compétente devra prochainement rendre des décisions notamment au sujet de YouTube, Gmail et Google Search.

Cependant, et comme rappelé ci-avant, la décision concernée repose uniquement sur la procédure d’activation d’Android.

En l’espèce, les plaignants se sont basés sur une version antérieure d’Android afin de faire reposer leur plainte.

En synthèse, il est reproché à Google d’obliger les utilisateurs de son système à accepter la politique de confidentialité Google dans sa globalité, pour bénéficier des services.

A cet égard, le consentement donné par l’utilisateur est général et forcé, et non pas ciblé et libre comme exigé par la règlementation en vigueur.

L’omniprésence et l’interconnexion des systèmes et des services Google, dont la position dominante ne fait guère de doute, était aussi un élément soulevé par les plaignants afin de rapporter la preuve d’un consentement vicié.

L’instruction de la CNIL

Après s’être posée la question de sa compétence territoriale, la CNIL a procédé à un contrôle en ligne le 21 septembre 2018, en vue de vérifier la conformité des traitements de données à caractère personnel réalisés par Google à la Loi Informatique et Libertés et au RGPD.

Pour ce faire, l’autorité de contrôle française a analysé le parcours type d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son téléphone portable Android.

Son objectif était alors de vérifier si les droits des utilisateurs étaient respectés, par rapport aux faits allégués.

Afin d’instruire ces éléments, le rapporteur à la CNIL, Monsieur François PELLEGRINI, a fait notifier aux sociétés Google LLC et Google France un rapport détaillant les manquements reprochés.

Google a ainsi eu un délai d’un mois afin de présenter ses observations en réponse, ce qui reste un délai relativement court au regard des manquements reprochés.

A la suite de la réponse de Google aux observations formulées, une nouvelle lettre du rapporteur a été envoyée à la société le 11 décembre 2018, laissant à Google 15 jours pour y répondre…

La CNIL a toutefois accepté de reporter sa séance d’un délai complémentaire de 15 jours, afin de permettre à Google de faire valoir ses observations.

La séance a ainsi été reportée au 15 janvier 2019…

On ne peut donc que s’étonner de délais aussi courts, qui ne permettent à notre sens pas d’opposer valablement le contradictoire.

Cette décision n’en est pas moins intéressante, et il convient d’analyser, de manière synthétique, la procédure suivie ainsi que les manquements reprochés.

EN SAVOIR PLUS SUR LE RGPD

 La question de la compétence territoriale de la CNIL

A titre liminaire, la question de la compétence territoriale de la CNIL a été posée.

En effet, Google soutient que l’autorité française n’est pas compétente pour mener la procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise.

La question du Forum shopping en matière d’autorités de contrôle

Le forum shopping consiste à saisir la juridiction qui sera la plus susceptible de donner raison à ses propres intérêts.

Le Règlement européen, par définition applicable de manière uniforme sur l’ensemble du territoire, n’autoriserait donc par conséquent pas cette possibilité.

Or, on se rend compte que ce principe reste limité et qu’en réalité une société peut, dans certaines limites, choisir son autorité de contrôle afin de voir diminuer les sanctions potentielles.

A cet égard, Google a annoncé récemment, par un billet de blog, avoir choisi l’Irlande comme autorité de contrôle en matière de protection des données à caractère personnel à compter du 22 janvier 2019, soit le lendemain de la décision analysée.

Ce choix n’était pas opposable à la CNIL au jour de la décision.

Cependant, la problématique du choix de la compétence territoriale et donc de l’autorité chef de file reste un enjeu majeur, qui a fait l’objet de nombreux développements en sein de la décision.

La détermination de l’« établissement principal », une notion restant à encadrer

Nous connaissions la notion d’« établissement stable » et d’ « établissement principal » en droit fiscal, voici venue le temps de la notion d’ « établissement principal » applicable à la protection des données.

Le principe du RGPD en matière de choix de l’autorité « chef de file »

L’autorité chef de file est celle devant laquelle les réclamations à l’encontre d’une société devront être portées, et qui coordonnera l’action des différentes autorités de contrôle locales.

L’article 56 du RGPD paragraphe 1 dispose ainsi :

« l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant ».

Par dérogation et selon le paragraphe 2 :

« chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement ».

Se posait alors la question de savoir qui, entre la CNIL ou l’autorité chef de file du lieu d’implantation de Google Europe, à savoir l’autorité de protection des données irlandaise, « Data Protection Commission » ou « DPC », était compétente.

Pour cela, la société Google a avancé le fait que la société Google Ireland Limited constitue son établissement principal au sein de l’Union européenne, et que, de ce fait, la DPC avait pleine compétence pour rendre sa décision.

La CNIL n’a pas suivi ce raisonnement.

Il est toutefois à noter que, depuis le 22 janvier 2019, Google a modifié ses conditions d’utilisation afin de désigner clairement la Data Protection Commission comme autorité chef de file.

Les critères retenus par la CNIL afin de déterminer l’autorité compétente

La question principale était donc celle de savoir si Google Ireland Limited pouvait être considéré comme l’établissement principal de Google au sein de l’Union.

La formation restreinte considère que, pour pouvoir être qualifié d’établissement principal l’établissement concerné doit disposer d’un pouvoir de décision vis-à-vis des traitements de données à caractère personnel en cause.

La qualité d’établissement principal suppose en effet l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.

Dès lors, l’existence d’un établissement principal s’apprécie in concreto, au regard de critères objectifs, et ne saurait correspondre automatiquement au siège social du responsable de traitement en Europe.

La CNIL reprend les lignes directrices du Comité Européen de la Protection des Données (CEPD) du 5 avril 2017 sur la désignation d’une autorité de contrôle chef de file et rappelle que :

« l’administration centrale est le lieu où sont prises les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel, et ce lieu a le pouvoir de faire appliquer ces décisions. », et que le règlement n’autorise pas le forum shopping.

Or, la CNIL considère que Google Ireland Limited ne disposait pas de pouvoir décisionnel quant aux finalités et au moyens de traitement au moment de l’engagement des poursuites à son encontre, Android étant développé et géré par Google LLC, aux Etats-Unis.

La formation restreinte relève par ailleurs que la société Google Ireland Limited n’est pas mentionnée dans les Règles de confidentialité de la société en date du 25 mai 2018.

Elle rajoute également que Google Ireland Limited n’a pas désigné de délégué à la protection des données (« Data Protection Officer » ou « DPO ») en charge des traitements de données à caractère personnel effectués au sein de l’Union Européenne.

Au vu de ses éléments, la CNIL a donc considéré que la société Google Ireland Limited ne pouvait être considérée comme « l’établissement principal » de la société Google LLC dans l’Union Européenne.

Dès lors, par dérogation au paragraphe 1 de l’article 56 du RGPD et en l’absence d’autorité chef de file, la CNIL s’est considérée compétente pour engager la procédure à l’encontre de la société Google.

Ce raisonnement reste toutefois friable, à notre sens, et ne repose sur aucun élément concret quant à la gestion des données.

 Quels sont les manquements de Google aux obligations prévues par le RGPD ?

 Le rapporteur à la CNIL a soulevé deux catégories de manquements.

La première est relative à l’obligation de transparence et d’information à laquelle est tenue chaque responsable de traitement, au titre des articles 12 et 13 du RGPD.

La seconde est relative au défaut de base légale pour les traitements de personnalisation de la publicité, au regard des dispositions de l’article 6 du RGPD.

Le manquement de Google à ses obligations de transparence et d’information prévues par le RGPD

 

Un défaut global d’accessibilité des informations délivrées par Android

L’article 12 du RGPD exige que les personnes concernées par un traitement de leurs données à caractère personnel soient informées des caractéristiques de ce traitement (finalité et fondement du traitement).

Les données ne peuvent ainsi être traitées qu’après communication aux personnes concernées d’une information complète sur le traitement.

Ce principe de transparence vaut particulièrement dans des situations où la multiplicité des acteurs et des technologies fait qu’il est difficile pour la personne concernée de savoir et de comprendre lesquelles de ses données sont collectées, par qui et pour qui, notamment dans le cas de la publicité en ligne.

A ce titre, l’article 13 du Règlement européen énumère quant à lui un certain nombre d’informations devant être communiquées aux personnes dont les données à caractère personnel sont collectées, notamment l’identité du responsable de traitement, la finalité du traitement, l’identité des destinataires des données, ou encore la durée de conservation de ces données.

Or, la CNIL considère que Google n’a pas respecté ses obligations en la matière.

Cette dernière estime que les informations fournies par le géant du Web ne sont pas aisément accessibles pour les utilisateurs, car disséminées dans plusieurs documents comportant de nombreux boutons et liens.

 L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.

Ces informations portaient notamment les finalités des traitements, les durées de conservation, ou encore la géolocalisation des utilisateurs.

De plus, elle constate que certaines des informations devant être obligatoirement fournies, ne le sont en réalité pas.

La CNIL en profite pour rappeler qu’il ne suffit pas aux responsables de traitement de rendre accessibles ces informations aux utilisateurs, il faut également que cet accès soit facilité, afin que les utilisateurs concernés soient en mesure de déterminer à l’avance ce que le traitement de leurs données englobe, ainsi que les conséquences de ce traitement.

 L’absence de clarté et de compréhensibilité des informations délivrées par Google

La formation restreinte de la CNIL a estimé que les informations communiquées par Google à ses utilisateurs n’étaient pas toujours claires et compréhensibles, ce qui contrevient aux dispositions de l’article 12 du RGPD prévoyant que la communication des informations relatives au traitement des données à caractère personnel doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

Il apparaît que les utilisateurs n’étaient ici pas en mesure de comprendre l’ampleur des traitements mis en place par la société Google.

Or, ces traitements apparaissent comme étant particulièrement « massifs et intrusifs », en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées.

En effet, les données collectées par Google proviennent de sources extrêmement variées : l’utilisation du téléphone, de la messagerie Gmail, de la plateforme YouTube, de la navigation sur internet, des cookies Google Analytics déposés sur ces sites, etc.

A cela s’ajoute le fait que certaines catégories de données sont à collecter avec précaution, notamment les données de géolocalisation ou les contenus consultés. Dès lors, l’information des utilisateurs se doit d’être d’autant plus claire et précise.

Or, la formation restreinte constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités. 

La société Google ne permet pas à ses utilisateurs de se rendre compte de l’ampleur des traitements.

De ce fait, la société américaine a méconnu ses obligations de transparence et d’information. 

Le manquement de Google à l’obligation de disposer d’une base légale

La société Google a invoqué le fait qu’elle s’appuyait sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité.

En effet, c’est l’une des bases sur lesquelles le traitement de données à caractère personnel peut s’appuyer selon l’article 6 du RGPD :

« Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)       la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques […] »

Or, la CNIL estime que ce consentement n’est pas valablement recueilli, et ce pour deux raisons.

L’absence de consentement suffisamment éclairé de la part de l’utilisateur des services de Google

Le consentement des utilisateurs n’est pas suffisamment éclairé. Comme évoqué précédemment, les informations communiquées par Google sont diluées dans différents documents. De ce fait, l’utilisateur ne peut pas prendre conscience de l’ampleur des traitements de ses données à caractère personnel.

La CNIL appuie son argumentation sur un exemple concret qui est celui de la personnalisation des publicités. En effet, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google Search, You tube, Google home, Google Maps, Playstore, Google photo, etc.) et donc du volume de données traitées et combinées.

L’utilisateur n’étant pas pleinement informé de l’ampleur des traitements, son consentement ne peut pas être considéré comme « éclairé ».

Dès lors, Google commet un manquement à ses obligations au titre du RGPD.

Un consentement de l’utilisateur de Google insuffisamment « spécifique » et « univoque »

La formation restreinte de la CNIL relève que lors de la création d’un compte, l’utilisateur de Google a la possibilité de modifier certains paramètres, afin de consentir ou non à l’affichage d’annonces personnalisées.

La CNIL relève par ailleurs que les cases sont pré-cochées.

Or, le principe de l’opt-in exigé par le RGPD veut que l’accord de l’utilisateur se manifeste par un acte positif et univoque, à savoir cocher une case non pré-cochée, et non l’inverse.

A ce titre, le consentement recueilli par Google ne remplit pas la condition d’univocité.

Aussi, selon la CNIL, cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » consiste en un consentement en bloc, et non en un consentement spécifique.

Or, le RGPD exige que le consentement soit spécifique, à savoir qu’il soit donné de manière distincte pour chaque finalité.

Dès lors, la formation restreinte considère que le consentement sur lequel se fonde la société Google pour les traitements de personnalisation de la publicité n’est pas valablement recueilli.

Les manquements aux obligations de transparence, d’information, ainsi que le défaut de base légale constatés par la CNIL ont conduit l’autorité de contrôle française à prononcer une sanction relativement importante à l’encontre de Google.

 La sanction prononcée par la CNIL à l’encontre de Google pour manquements à ses obligations au titre du RGPD

Malgré les mesures mises en œuvre par Google, et notamment la mise à jour de sa politique, les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées.

En outre, ces manquements perdurent toujours à l’heure actuelle et constituent une violation continue du RGPD, et non une violation ponctuelle.

Ces éléments ont conduit la CNIL à prononcer une sanction pécuniaire de 50 millions d’euros à l’encontre du géant américain.

C’est la première fois que la CNIL fait application des nouveaux plafonds prévus par le RGPD, bien que la sanction soit encore très éloignée des plafonds prévus en la matière.

A titre de sanction complémentaire, la décision a également été rendue publique sur le site de la CNIL et sur le site de Légifrance et sera anonymisée deux ans après sa publication.

Reste à savoir comment cette décision pourrait être « anonymisée »…

Quelles sont les limites de la sanction prononcée par la CNIL à l’encontre de Google ?

 Il est nécessaire de rappeler que l’article 83.5 du RGPD prévoit que les sanctions à l’encontre des entreprises peuvent aller jusqu’à 4% de leur chiffre d’affaires annuel mondial.

La sanction de 50 millions d’euros est à relativiser au vu du chiffre d’affaires de Google qui s’élevait en 2017 à approximativement 97 milliards d’euros.

La sanction ne représente donc que 0,05% du chiffre d’affaires annuel mondial de la société.

On est donc encore loin du plafond prévu notamment par le RGPD, et cela ne semble pas cher payé au vu de l’importance des manquements et du nombre de personnes concernées.

Il faut tout de même reconnaître à la CNIL le mérite d’avoir lancé le mouvement contre l’un des géants du numérique.

Il conviendra donc d’attendre les retours des autres plaintes déposées à l’encontre des services de Google et d’autres entreprises du numérique.

En effet, cette sanction n’est qu’une première réponse aux plaintes déposées à l’encontre de Google par les associations mentionnées précédemment.

En attendant, il semble que cette simple sanction n’ait pas été dissuasive pour Google qui continue à traiter les données de ses utilisateurs de la même manière.

Par ailleurs, il convient de rappeler que Google a fait appel de cette décision devant le Conseil d'Etat, il conviendra donc d'attendre la décision des magistrats du Palais du Luxembourg avant d'avoir le fin mot de cette histoire...

Néanmoins, Google ayant depuis le 22 janvier 2019 explicitement indiqué comme établissement principal la société Google Ireland Limited dans ses conditions d’utilisation. Reste à savoir quelle autorité de contrôle sera reconnue compétente pour rendre les prochaines délibérations.

C’est ici que la question du forum shopping revient avec insistance, chaque autorité de contrôle locale n’ayant pas les mêmes moyens ni la même doctrine que la CNIL.

Il y a donc fort à parier que le choix de l’autorité de contrôle irlandaise, qui ne dispose pas des mêmes moyens humains et financiers que la CNIL française, soit une décision particulièrement stratégique et opportune pour Google.

Il ne peut être remis en doute que le choix de l’Irlande pour le siège européen de Google, et de bien d’autres sociétés, est notamment motivé par des raisons fiscales, cette politique étant particulièrement soutenue par le gouvernement en place.

Il conviendrait donc que ce laxisme fiscal ne se reproduise pas en matière de protection des données à caractère personnel.

EN SAVOIR PLUS SUR LE RGPD

 

En savoir plus : Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC

Télécharger la décision au format .pdf

publié le 24 janvier 2019