Download PDF

Faits : La société américaine Google LLC traite des données personnelles dans le cadre du système d’exploitation Android et des services fournis en lien avec la création d’un compte utilisateur Google lors de la configuration d’un téléphone mobile.

Les 25 et 28 mai 2018, dans la foulée de l’entrée en vigueur du RGPD, les associations autrichienne None Of Your Business (« NOYB ») et française La Quadrature du Net (« LQDN ») ont engagé des plaintes collectives auprès de la CNIL, reprochant à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

Compétence de la CNIL : Le mécanisme du « guichet unique » mis en place par le RGPD prévoit qu’un organisme établi dans l’Union européenne doit avoir pour seule interlocutrice l’autorité « chef de file » du pays où est situé son « établissement principal » qui doit alors se coordonner avec les autres autorités nationales de protection des données.

Ici, dans la mesure où au moment des plaintes, Google Ireland n’avait pas de pouvoir de décision sur les traitements concernés (avec le système d’exploitation Android, la création d’un compte utilisateur Google lors de la configuration d’un téléphone mobile) les autorités européennes ont considéré que Google LLC ne disposait pas d’un établissement principal dans l’Union européenne, la CNIL, comme les autres autorités européennes étant alors compétentes.

Mode de contrôle : En septembre 2018, La CNIL a procédé à un contrôle et une analyse en ligne du parcours d’un utilisateur et des documents/informations auxquels il peut accéder en créant un compte Google en configurant son appareil mobile sous Android.

Obligation de transparence et d’information des personnes concernées : La CNIL a retenu la difficulté d’accès aux informations destinées au personnes concernées, notamment du fait que des informations majeures (finalités, durée de conservation, catégories de données) apparaissent sur plusieurs documents différents et nécessitent plusieurs (5 ou 6) actions de l’utilisateur pour y parvenir (de quoi décourager les utilisateurs…). La CNIL a par ailleurs considéré que l’information donnée

– n’était pas suffisamment compréhensible par l’utilisateur qui ne pouvait pas être averti que la base légale du traitement était son consentement (qu’il n’était donc pas obligé de donner) ni prendre la mesure de l’ampleur et des conséquences possibles du traitement effectué par Google (quantité et type de données traitées, combinaison des données par Google),

– était trop vague, notamment pour ce qui concerne les finalités et la nature des données concernées

– n’était pas complète puisque la durée de conservation n’était pas systématiquement indiquée.

Obligation d’un consentement éclairé, spécifique et univoque : Google précisait fonder son traitement de données sur la base légale du consentement. Cependant, la CNIL a considéré que ce traitement était illicite dans la mesure où le consentement n’était pas obtenu de manière conforme à la réglementation en se basant sur 3 critères :

– le consentement n’était pas éclairé : cette condition est directement liée au défaut d’information ci-dessus : si la personne concernée n’a pas facilement accès aux informations sur le traitement et que celles-ci sont trop vagues ou incomplètes, la personne ne peut évidemment pas consentir en toute conscience.

– le consentement n’était pas univoque : cela présuppose que l’utilisateur consente par un acte positif, or le choix de l’affichage d’annonces personnalisées était coché par défaut (avec donc uniquement une possibilité d’opt-out).

– le consentement n’était pas spécifique : cela nécessite que les finalités soient clairement définies (or elles étaient trop vagues) et que l’utilisateur consente de manière séparée à chacune et non de manière globale comme c’était le cas avec une mention d’acceptation générale, de la même manière que l’acceptation des CGU de Google.

Sanction : Une amende de 50 millions d’euros (destinée donc au Trésor public) avec la première application des plafonds prévus par le RGPD et la publication de la décision.

A cette occasion, la CNIL rappelle qu’elle est en mesure de décider de fixer une amende sans nécessairement avoir préalablement mis en demeure le responsable de traitement en lui laissant un timing de mise en conformité. D’ailleurs la CNIL précise que les traitements litigieux sont toujours en cours et que Google n’a pas profité de la période d’instruction de l’affaire pour modifier son comportement.

Cette décision est fondée en particulier sur

– la gravité des faits qui impactent directement les principes essentiels de la protection de la vie privée,

– le fait que l’activité de Google est principalement tournée vers le traitement de données personnelles (avec le ciblage publicitaire) ce qui le rend d’autant plus responsable et nécessite de sa part d’autant plus de prudence pour garantir le respect de la vie privée,

– le volume des données concernées et leur combinaison quasi-infinie,

Le montant de l’amende peut paraître élevé mais est en fait assez faible étant donné le Chiffre d’affaire annuel de Google qui dépasse les 110 milliards d’euros. En effet, les faits reprochés à Google portent sur les principes fondamentaux de la protection de la vie privée et sont passibles d’une amende allant jusque 4% du chiffre d’affaire mondial du responsable de traitement.

Ce qu’il faut en tirer : Il est essentiel :

– d’identifier au sein d’un groupe international quelle est l’entité qui a le pouvoir de décision sur les traitements de données personnelles, cet élément étant déterminant à la fois pour la qualification du responsable de traitement mais également pour la détermination de la compétence des autorités européennes,

– de fournir une information complète, claire, compréhensible et facilement accessible à l’utilisateur : 1 clic devrait suffire !

– de prévoir, pour que le consentement soit valable, un acte positif de la personne… on voit encore beaucoup de cases pré-cochées ou d’acceptation présumée (par exemple via une simple poursuite de navigation de l’utilisateur, notamment dans les paramétrages de cookies),

– de permettre que le consentement soit donné de manière séparée pour chaque finalité, qui doit être définie de manière suffisamment précise,

– de réagir rapidement et modifier les conditions de son traitement de données pour le mettre en conformité à la moindre alerte de la CNIL.

https://www.laquadrature.net/2019/01/21/premiere-sanction-contre-google-suite-a-nos-plaintes-collectives/

https://noyb.eu/exclusivite-la-cnil-sanctionne-google-a-hauteur-de-50-millions-deuros-suite-a-une-plainte-deposee-par-noyb/?lang=fr

Charlotte Urman
Conseil en propriété industrielle, Directrice du pôle PACA INLEX IP Expertise

Share on LinkedInTweet about this on TwitterShare on Google+Email this to someone