Le jour même de l’entrée en vigueur du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »), la CNIL a été saisie de nombreuses plaintes collectives contre plusieurs géants du Net, dont Google, Facebook ou encore Amazon. Le 21 janvier dernier la CNIL a prononcé la première sanction découlant de ces plaintes : une amende de 50 millions d’euros contre GOOGLE LLC (« GOOGLE »).
Le 25 mai 2018, jour de l’entrée en vigueur du RGPD, l’association autrichienne None Of Your Business (« NOYB ») a déposé notamment, devant la CNIL en France, une plainte collective contre GOOGLE, en se fondant sur le caractère non libre du consentement accordé par les utilisateurs du système d’exploitation pour les terminaux mobiles Android, ces derniers étant notamment tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation afin d’utiliser leur terminal.
Trois jours plus tard, c’est l’association française La Quadrature du Net (« LQDN ») qui a déposé une plainte collective contre GOOGLE devant la CNIL arguant du manque de base légale pour les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire. Près de 10 000 personnes avaient mandaté les deux associations pour les représenter, sur le fondement de l’article 80 du RGPD.
1. Sur la compétence de la CNIL et le mécanisme de « guichet unique »
Première sanction française prononcée sur le fondement du RGPD, il est crucial de noter que l’amende a été infligée par la CNIL, en tant qu’autorité française de protection des données à caractère personnel, et non en tant qu’autorité « chef de file » dans le cadre du mécanisme de « guichet unique » mis en place par l’article 60 du RGPD.
En effet, au moment des poursuites, il a été constaté que GOOGLE ne disposant pas d’établissement principal en Europe, il était impossible d’identifier une autorité « chef de file ». C’est la raison pour laquelle la CNIL, après concertation avec ses homologues européennes conformément à l’article 56 du RGPD, s’est déclarée compétente pour exercer l’ensemble des pouvoirs permis par l’article 58 du RGPD.
L’absence d’établissement principal au sein de l’Union Européenne, et donc d’autorité « chef de file » met GOOGLE face au risque d’être à nouveau condamné par d’autres autorités de protection européennes, d’autant plus que dans sa délibération, la CNIL vise expressément GOOGLE France et les quelques 27 millions d’utilisateurs français dudit système d’exploitation. La décision française n’est donc peut-être que la première d’une série…
2. Sur la décision de la CNIL
Suite à un contrôle en ligne en septembre 2018, afin d’analyser le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android, l’autorité de protection française a constaté plusieurs manquements.
Manquement aux obligations de transparence et d’information
La CNIL reproche à GOOGLE un manquement aux articles 12 et 13 du RGPD relatifs à l’obligation d’information préalable et à la nécessaire transparence des informations communiquées aux personnes concernées, et plus particulièrement au principe selon lequel les informations communiquées doivent être accessibles, claires et compréhensibles.
A cet égard, il est reproché à GOOGLE, outre l’absence de certaines informations obligatoires (la durée de conservation de certaines données n’étant pas indiquée), de disséminer des informations essentielles (telles que la finalité du traitement, la durée de conservation et les catégories de données) dans plusieurs documents que l’utilisateur doit « dérouler » au maximum par le jeu de boutons ou liens afin d’avoir un accès complet à l’ensemble de l’information devant lui être communiquées sur le fondement de l’article 13 du RGPD.
En ce qui concerne le caractère clair et compréhensible de l’information, il est d’une part reproché à GOOGLE de ne pas faire preuve de précision dans la définition des finalités, ces dernières étant décrites trop génériquement et vaguement. D’autre part, la CNIL pointe l’ambiguïté quant à la base légale choisie par GOOGLE pour les traitements de personnalisation de la publicité : il est en effet difficile pour l’utilisateur de déterminer si ces traitements ont pour base légale le recueil de son consentement ou bien l’intérêt légitime de GOOGLE…
Manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité
La CNIL conteste le caractère éclairé, univoque et spécifique du consentement recueilli par GOOGLE à des fins de personnalisation de la publicité.
Sur le caractère éclairé du consentement
Une nouvelle fois, la CNIL invoque le fait que les informations fournies aux utilisateurs ne sont pas aisément accessibles et assez claires pour permettre à ces derniers de donner leur consentement en toute connaissance de cause et donc valablement. A titre d’exemple, l’autorité soulève qu’un utilisateur n’a pas la possibilité, dans la rubrique « Personnalisation des annonces » d’accéder à l’ensemble des services, sites et applications impliquées lors de ces traitements, et par conséquent du potentiel volume de données traitées, agrégées et combinées par GOOGLE.
>Sur le caractère spécifique et univoque du consentement
Dans un premier temps, la CNIL rappelle que le fait que la case concernant l’affichage d’annonces personnalisées soit pré-cochée par défaut est contraire à l’obligation selon laquelle le consentement doit être univoque et positif, et ceci d’autant plus que l’utilisateur doit cliquer sur certains boutons (tels que « plus d’options ») afin d’avoir la possibilité de paramétrer son compte utilisateur et donc l’affichage de publicités personnalisées.
Dans un second temps, la CNIL ajoute que le consentement en bloc à toutes les finalités poursuivies par GOOGLE (par l’action de cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ») afin de créer un compte utilisateur rend le consentement non spécifique. En effet, la CNIL souligne que le consentement doit être donné de manière distincte pour chaque finalité poursuivie.
Au vu des manquements constatés, la CNIL a décidé d’infliger à GOOGLE une amende d’un montant de 50 millions d’euros. Si le montant de l’amende est, selon la CNIL, justifié par la gravité des manquements constatés et peut paraître élevé à première vue, il faut toutefois noter que LQDN relève que ce montant aurait pu être bien plus important. En effet, toujours selon la LQDN, la CNIL ne se serait pas prononcée sur le caractère libre du consentement et la possibilité ou non pour GOOGLE de conditionner l’utilisation de son service à l’acceptation du ciblage publicitaire.
Si l’annonce faite par GOOGLE d’avoir interjeté appel de la délibération de la CNIL devant le Conseil d’Etat laisse présager des réponses cruciales sur la manière d’appliquer le RGPD, nous poursuivrons prochainement, dans un article plus détaillé, l’analyse des critères utilisés par la CNIL dans sa délibération pour déterminer le montant de l’amende et leur adéquation par rapport aux lignes directrices du Comité Européen de la Protection des Données, mais aussi l’écart entre les reproches avancés par NOYB et LQDN dans leurs plaintes collectives et la réponse apportée par la CNIL.