La CNIL, l’autorité française de contrôle de la protection des données, a prononcé le 21 janvier 2019 une amende administrative de 50 millions d’euros à l’encontre de la société Google LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Elle avait a été saisie de deux plaintes collectives déposées les 25 et 28 mai 2018 par l’association de Max Schrems None Of Your Business (NOYB) et l’association La Quadrature du Net (LQDN).

L’autorité compétente et l’établissement principal de Google

L’autorité compétente est celle du lieu de l’établissement principal de la société visée. Dans ce cas, la CNIL a retenu qu’il ne s’agissait pas du siège social du responsable de traitement en Europe, car si Google Ireland Ltd dispose de moyens financiers et humains importants, notamment par le bais de la vente de prestations publicitaires, elle ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google LLC. Google Ireland Limited n’était pas non plus mentionnée dans les règles de confidentialité et n’avait pas nommé de délégué à la protection des données.

En l’absence d’un établissement principal, il n’y a pas d’autorité de contrôle cheffe de file et de guichet unique. La CNIL demeure compétente, comme toutes les autres autorités de protection de l’UE qui peuvent rendre des décisions complémentaires. Il n’y a pas non plus d’obligation pour l’autorité de procéder dans une autre langue que le français.

Un contrôle limité, mais des reproches clairs

La CNIL s’est, pour l’instant, contenté d’un contrôle limité correspondant à un scénario pouvant faire l’objet d’un contrôle en ligne, à savoir le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android. Elle a retenu un manquement aux obligations de transparence et d’information (12 et 13 RGPD), même si elle salue des progrès. Google faisait pour sa part valoir que les obligations légales étaient respectées, en particulier par les Règles de confidentialité et les Conditions d’utilisation, ainsi que les outils « Dashboard » et « check-up confidentialité ».

Tout d’abord, la CNIL relève un défaut d’accessibilité des informations fournies. L’architecture générale n’est pas satisfaisante et il faut parfois jusqu’à cinq ou six actions pour atteindre l’information pertinente. Des informations essentielles sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires.

La CNIL retient ensuite que les informations délivrées ne sont pas toujours claires et compréhensibles. Pour apprécier ce caractère clair et compréhensible, la CNIL prend en compte l’ampleur des traitements considérés (qualifiés de particulièrement massifs et intrusifs) et résultant d’une vingtaine de services différents. Ainsi les finalités sont considérées comme étant décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.  De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société. Enfin, la CNIL constate que la durée de conservation de certaines données n’est pas indiquée.

Le RGPD exige que tout traitement de données repose sur une base légale (6 RGPD). Google indique qu’elle se fonde sur le consentement pour les traites de la personnalisation de la publicité (la CNIL excluant d’ailleurs un intérêt légitime prépondérant de la société). Au vu des manquements en matière de transparence, la CNIL retient que le consentement ne peut pas être suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur, en particulier de la pluralité des services, sites et applications concernées (Google Search, YouTube, Google Home, Google Maps, Playstore, Google Photo…) et donc du volume de données traitées et combinées.

La CNIL constate encore que le consentement n’est pas spécifique et univoque. A la création de son compte, l’utilisateur est invité à consentir en bloc à toutes les finalités et le consentement n’est pas spécifique à chaque finalité. Un consentement en bloc ne serait envisageable que si l’utilisateur a la possibilité de «tout accepter» ou «tout refuser». Finalement, ce n’est que si l’utilisateur clique sur le paramètre «plus d’options» qu’il peut constater que certaines cases sont précochées.

La sanction prononcée

Pour la CNIL, les manquements constatés sont graves car ils privent les utilisateurs de garanties fondamentales. Elle souligne en outre l’ampleur des traitements (volume considérable de données et grande variété de services) et le fait que les manquements retenus perdurent à ce jour. Le modèle économique de la société implique aussi une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD.

Le RGPD prévoit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans le cas de Google, la CNIL a retenu un chiffre d’affaires en 2017 de 109, 7 milliards de dollars US, soit une mande maximale de 3, 86 milliards d’euros.

La formation restreinte condamne donc la société à une amende de 50 millions d’euros, sans mise en demeure préalable, et choisi de rendre publique la condamnation.

Commentaire

De nouvelles Règles de confidentialité sont entrées en vigueur aujourd’hui et devraient clarifier un peu l’utilisation des données par Google. Google Ireland Ltd est clairement désigné comme le responsable du traitement pour les utilisateurs résidant dans l’Espace économique européen ou en Suisse. On peut toutefois se demander si, malgré les efforts de Google, les exigences du RGPD peuvent être atteints, ou si la complexité et la multitude des traitements (et croisements de données) ne rendent simplement pas cet exercice de transparence impossible, ce qui contraindrait de fait Google à revoir la manière de traiter les données.

S’agissant de la procédure, on peut aussi se demander si le fait qu’un établissement principal ne soit pas désigné laisse, comme le pense la CNIL, la compétence à toutes les autorités parallèlement, ou si au contraire elle aurait dû préalablement définir quel était l’établissement principal.

La décision est sujette à recours et il ne fait guère de doutes que toutes les voies de recours seront exploitées, ce qui apportera d’autres réponses. La CNIL aura aussi tout loisir de mener d’autres procédures, pour traiter des questions qu’elle n’a pas abordées dans ce premier contrôle restreint, qui avait certainement pour vocation première de rendre rapidement une décision.