Par Laurent BARISSAT, Avocat au Cabinet CLAIRMONT NOVUS AVOCATS

La Commission Informatique et Libertés (CNIL) a prononcé, le 21 janvier 2019, une sanction record de 50 millions d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable concernant la personnalisation de la publicité.

Outre le fait que l’autorité française de contrôle de la protection des données ait prononcé une sanction sans précédent, cette délibération vient apporter des éclaircissements, d’une part, sur les exigences de la CNIL concernant les obligations de transparence et d’information et, d’autre part sur la notion d’établissement principal et de compétence de la CNIL.

I/ Compétence de la CNIL pour juger Google LLC ( USA) en France

Suite aux plaintes formées par les associations None of Your Business (NOYB) et la Quadrature du Net (QDN) en mai 2018, la CNIL a effectué un contrôle pour vérifier la conformité des traitements de données à l’occasion de la création d’un compte Google lors de la configuration d’un mobile sous Android.

Google a alors contesté la compétence de la CNIL au motif que l’autorité compétente pour effectuer un tel contrôle serait celle du lieu de son établissement principal en Europe. Google estime que son établissement principal est le lieu de son siège social en Irlande.

Or, la formation restreinte de la CNIL précise, à la lumière du Règlement général européen relatif à la protection des données (dit « RGPD ») et des lignes directrices du Contrôleur européen de la protection des données (CEDP, anciennement G29) que l’établissement principal est l’établissement qui dispose d’un pouvoir de décision vis-à-vis des traitements de donnéesplus précisément il s’agit du lieu où sont prises les décisions quant aux finalités au moyens et ajoutant que « l’établissement ne saurait  correspondre automatiquement au siège social du responsable de traitement en Europe ».

Ainsi, en l’absence d’établissement principal permettant l’identification d’un « guichet unique », la CNIL, au même titre que les autres autorités de protection de l’Union, est compétente pour engager une procédure à l’encontre de Google, dès lors qu’un traitement concerne des personnes situées en France et prononcer des sanctions concernant les traitements mis en œuvre par GOOGLE.

II/ Les manquements reprochés à Google

Les contrôles effectués par la CNIL ont permis de relever plusieurs manquements, à savoir :

1/ Des manquements aux obligations de transparence et d’information, notamment pour la personnalisation publicitaire et la géolocalisation.

La CNIL a considéré que les informations n’étaient pas aisément accessibles pour les personnes concernées car il y avait plusieurs étapes avant d’arriver aux informations. En effet, les informations sont disséminées dans plusieurs documents et l’accès nécessite de cliquer sur plusieurs boutons ou liens hypertextes.

De plus, les informations ne sont pas toujours claires et compréhensibles. La CNIL estime que les personnes concernées n’ont pas suffisamment conscience du caractère massif et intrusif des traitements réalisés.

Enfin la CNIL a constaté que la durée de conservation de certaines données, qui est une information essentielle pour les personnes concernées, n’était pas indiquée.

2/ Des manquements aux obligations de disposer d’une base légale pour la personnalisation de la publicité.

Tout traitement de données personnelles doit reposer sur une base légale (cf. article 6 du RGPD). Pour ce qui concerne son système de personnalisation de la publicité, Google se fonde sur le consentement des utilisateurs.

Cependant, lors de son contrôle la CNIL a relevé que le consentement n’était pas valablement recueilli, notamment le consentement n’était pas suffisamment éclairé car les personnes concernées au moment de donner leur consentement ne sont pas en mesure d’avoir conscience du volume des données traitées.

De plus, le consentement n’est pas recueilli de manière spécifique et univoque. En effet, le paramétrage des modalités d’affichage des annonces personnalisées proposées par Google ne suffit pas selon la CNIL car non seulement la personne concernée doit faire la démarche d’aller dans « plus d’options » mais surtout l’affichage d’annonces personnalisées est pré-coché par défaut.

III/ Les sanctions prononcées

La CNIL s’est montrée ferme face à ces manquements graves aux obligations essentielles issues du RGPD puisqu’une sanction administrative a directement été prononcée sans mise en demeure préalable.

Cette sanction a été fixée à 50 millions d’euros, mais il convient de préciser que la CNIL aurait pu théoriquement prononcer une sanction allant jusqu’à 3,84 milliards d’euros, soit 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (en 2017).

Enfin la décision a été rendue publique et c’est peut-être ce qui sera le plus préjudiciable pour Google eu égard aux retentissements qu’aura cette sanction record.

Toutefois, Google a annoncé faire appel de cette décision.

Ainsi, dorénavant il ne fait nul doute que l’autorité de contrôle de la protection des données va être de plus en plus exigeante dans la mise en œuvre et le respect du nouveau RGPD en vigueur depuis le 25 mai 2018. 

A ce titre, il est important de rappeler que la CNIL avait déjà sanctionné lourdement Uber France à une amende de 400.000€ le 9 décembre 2018 et Bouygues Télécom à une amende de 250.000€ le 26 décembre 2018 pour un défaut de sécurisation de données clients/utilisateurs dans les deux cas.

Recommandations :

  • Il est primordial de veiller dès à présent au respect des obligations en matière de protection des données personnelles et de veiller à bien sécuriser vos données ;
  • En particulier, concernant l’obligation d’information, pour que cette information soit à la fois complète, précise mais également claire et compréhensible, elle peut être faite en deux temps :
    • 1 – les informations essentielles (responsable de traitement, finalités, durée de conservation, catégorie de données, base légale…)
    • 2 – une notice d’information exhaustive (ou charte de confidentialité, politique vie privée, etc.) auquel il est fait un renvoi et qui comporte les autres informations telles que les engagements de sécurité, les sous-traitants, l’exercice des droits, etc. (en évitant cependant d’y inclure des liens hypertextes vers d’autres documents d’information).
  • Enfin, attention aux paramétrages du recueil des consentements : il ne doit pas y avoir de case pré-cochée, de plus le consentement doit être donné distinctement pour chaque finalité.

Lien vers la Délibération n°SAN-2019-001 du 21 janvier 2019 de la CNIL