Journal de l'économie

Envoyer à un ami
Version imprimable

Traitement des données : Le Conseil d’Etat confirme l’amende record (mais symbolique) infligée à Google par la CNIL





Le 26 Juin 2020, par Maître Frédéric Rose-Dulcina

Par un arrêt du 19 juin 2020, le Conseil d’Etat a jugé que la Commission Informatique et libertés (CNIL) était compétente pour prononcer la sanction infligée à Google dès lors qu’à la date de la sanction, la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur les traitements de données, la société Google LLC implantée aux Etats-Unis détenant seule ce pouvoir


Traitement des données : Le Conseil d’Etat confirme l’amende record (mais symbolique) infligée à Google par la CNIL
Les Sages du Palais-Royal viennent de confirmer dans une décision importante du 19 juin dernier (CE, 19 juin 2020, n°430810, publié au Lebon) l’amende record de 50 000 000 d’euros infligée à Google par la CNIL le 21 janvier 2019.
 
Un petit retour en arrière s’impose s’agissant des faits de cette affaire.
 
La CNIL avait été saisie les 25 et 28 mai 2018 de deux plaintes collectives déposées en application de l’article 80 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit Règlement général sur la protection des données (RGPD), formées par les associations None of Your Business et La Quadrature du Net.
 
À la suite de ces plaintes déposées, la CNIL a procédé à des investigations relatives aux traitements de données personnelles effectués par la société Google LLC. Elle a ainsi analysé le parcours d’un utilisateur lors de la création d’un compte Google à partir d’un téléphone fonctionnant avec le système d’exploitation Android.
 
Sur la base de ces investigations, la CNIL a retenu plusieurs manquements au RGPD.
 
D’une part, la CNIL a considéré que les informations fournies à l’utilisateur au moment de la création d’un compte n’étaient pas toujours claires et facilement accessibles. En particulier, elle a relevé que des informations essentielles (sur les finalités, les durées de conservation ou les catégories de données pour la personnalisation de la publicité) étaient éparpillées sur plusieurs pages et que l’utilisateur devait parfois accomplir jusqu’à six actions pour y accéder.
 
D’autre part, elle a relevé que les informations mises à disposition par Google étaient rédigées de façon trop vague, ce qui ne permettait pas aux utilisateurs de comprendre l’ampleur du traitement effectué par Google. La CNIL a en effet souligné que les données des utilisateurs étaient collectées à partir de nombreux services tels que Gmail, Google Maps ou YouTube, ce qui avait pour effet de rendre le traitement massif et intrusif.
 
Enfin, la CNIL a estimé que le consentement des utilisateurs n’était pas valablement recueilli pour le traitement relatif à la personnalisation de la publicité. Elle a en effet relevé que le recueil du consentement se faisait au moyen d’une case précochée par défaut, ce qui n’était pas conforme aux exigences du RGPD.
 
Le 21 janvier 2019, la CNIL prononçait alors une amende de 50 millions d’euros à l’encontre de la société Google LLC pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
 
Saisi par la société Google LLC d’une requête pour invalider l’amende record de 50 millions d’euros, le Conseil d’État, dans sa décision du 19 juin 2020, a validé la décision de la CNIL.
 
Dans un premier temps, le Conseil d’Etat a considéré que la CNIL était compétente pour sanctionner les manquements de Google relatifs au traitement des données des utilisateurs français d’Android.
 
S’appuyant sur les dispositions du RGPD, le Conseil d’Etat commence par affirmer qu’il en résulte clairement « que lorsqu’est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l’Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union. Dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en œuvre un traitement transfrontalier sur le territoire de l’Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève, conformément à l’article 55 [du RGPD] ».
 
La société Google LLC soutenait que la CNIL n’était pas compétente pour engager la procédure de sanction et qu’elle était tenue de transmettre les plaintes qu’elle avait reçues à l’autorité de protection des données irlandaises, dès lors que la société Google Ireland Limited devait être considérée comme son établissement principal au sein de l’Union européenne. Selon Google LLC, son établissement irlandais constituait son « siège social » pour ses opérations européennes, il disposait de moyens financiers et humains importants et assumait, pour l’ensemble de l’Europe, la responsabilité de «nombreuses fonctions organisationnelles ».
 
Cette argumentation n’a pas été retenue par les Sages du Palais-Royal dans la mesure où le système d’exploitation Android était, à la date de la décision attaquée, exclusivement développé et exploité par la société Google LLC, implantée au Etats-Unis et responsable des traitements litigieux.
 
D’une part, la décision de justice du 19 juin 2020 relève qu’il ne résulte pas de l’instruction que la société Google Ireland exerçait, à cette date, un pouvoir de direction ou de contrôle sur les autres filiales européennes de la société Google LLC de nature à la regarder comme une administration centrale au sens du RGPD.
 
D’autre part, il résulte de l’instruction que cet établissement, qui ne s’est en tout état de cause vu attribuer de nouvelles responsabilités s’agissant des traitements opérés par Google en Europe qu’à partir du 22 janvier 2019, soit postérieurement à la date de la sanction attaquée, ne disposait jusqu’à cette date d’aucun pouvoir décisionnel quant aux finalités et aux moyens des traitements litigieux, pas plus qu’aucun autre de ses établissements européens ».
 
En conséquence, selon l’arrêt du Conseil d’Etat, « aucune autorité chef de file ne pouvant dès lors être désignée dans les conditions prévues à l’article 56 du RGPD, la CNIL était compétente pour instruire les plaintes des associations None of Your Business et La Quadrature du Net à raison des traitements des données personnelles des utilisateurs français du système d’exploitation Android opérés par la société Google LLC et infliger à cette dernière la sanction attaquée. La reconnaissance d’une telle compétence de la CNIL à l’égard des responsables de traitement de données des utilisateurs situés en France, dont les conditions de détermination ne méconnaissent en tout état de cause pas le principe de légalité des délits et des peines, ne saurait entraîner une violation du principe du non bis in idem ».
 
Sur les manquements de Google à ses obligations d’information et de transparence, le Conseil d’Etat rappelle que le RGPD définit un ensemble d’informations que les responsables de traitement sont tenus de fournir aux personnes concernées, de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Or, ils confirment l’appréciation portée par la CNIL sur l’information mise à disposition des utilisateurs d’Android par Google concernant le traitement de leurs données. Il considère que son organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité requises par le RGPD, alors même que les traitements en cause sont particulièrement intrusifs par leur nombre et la nature des données collectées. Il relève en outre que l’information disponible est parfois lacunaire, notamment s’agissant de la durée de conservation des données et des finalités des différents traitements opérés par Google.
 
En outre, le Conseil d’Etat confirme que Google ne met pas l’utilisateur à même de donner un consentement libre et éclairé au traitement de ses données aux fins de personnalisation de la publicité. En effet, le RGPD exige que l’utilisateur soit mis en mesure de donner son consentement de façon libre, spécifique, éclairée et univoque au traitement de ses données personnelles, ce qui suppose une présentation claire et distincte de l’ensemble des utilisations qui seront faites des données recueillies. Or, le Conseil d’Etat relève que l’utilisateur qui souhaite créer un compte Google pour utiliser le système Android est d’abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité. L’information sur le ciblage publicitaire qui lui est fournie à cette étape est générale et diluée au milieu d’informations relatives à d’autres finalités. Ainsi, le recueil du consentement est, à ce premier niveau, effectué de manière globale pour l’ensemble des finalités poursuivies par le traitement des données sans que l’information relative au ciblage publicitaire ne soit présentée de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement recueilli.
 
Après avoir relevé que l’utilisateur peut obtenir une information complémentaire sur le ciblage publicitaire en cliquant sur un lien « plus d’options », et qu’il est alors invité à donner un consentement spécifique à cette finalité, le Conseil d’Etat estime que l’information fournie à ce deuxième niveau par Google est, là encore, insuffisante. Par ailleurs, le consentement y est recueilli au moyen d’une case pré-cochée, ce qui ne répond pas aux exigences du RGPD.
 
Au vu de l’ensemble de ces éléments, et compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de la société Google LLC, le Juges du Palais-Royal estiment que la sanction de 50 millions d’euros prononcée par la CNIL n’est pas disproportionnée.
 
Cette sanction reste, encore à ce jour, la plus importante en Europe décidée par les autorités de protection de données. Toutefois, comme l’a rappelé le rapporteur public lors de l’audience publique du 12 juin 2020, cette somme ne représente que « 0,05 % du chiffre d’affaires de l’entreprise et environ 1 % de l’amende » maximale que permet le RGPD...
 
Cette décision du Conseil d’Etat du 19 juin 2020 tranche avec un autre arrêt de la même juridiction du 27 mars 2020 qui avait annulé une amende de 100 000 euros infligée à Google par la CNIL sur la question du droit à l’oubli ou plus précisément sur la question du droit des citoyens européens à ne plus apparaître dans les résultats du moteur de recherche (CE, 27 mars 2020, n°399922, publié au Lebon).
 
Maître FREDERIC ROSE-DULCINA
LEX SQUARED AVOCATS

 


France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Marché | Prospective | Industrie immobilière | Intelligence et sécurité économique - "Les carnets de Vauban"














Rss
Twitter
Facebook