Contenu

RGPD : la CNIL inflige une amende de 50 millions d'euros à Google

Le communiqué de presse de la CNIL a fait l’effet d’une petite bombe et a rapidement fait le tour du monde lundi 21 janvier 2019. En raison de son manque de transparence, d’informations lacunaires et de la validité défaillante du consentement des internautes pour la personnalisation de la publicité, la CNIL française a infligé une amende de 50 millions d’euros à Google. Cette décision fait suite aux plaintes déposées par l’association NOYB de Max Schrems dont j’avais parlé ici et par La Quadrature du Net (LQDN).

Résumé des plaintes contre Google

NOYB reprochait à Google de conditionner l’utilisation de terminaux Android à l’acceptation des conditions générales d’utilisation (CGU) et de la politique de confidentialité de Google. Sans cela, les terminaux étaient inutilisables.

LQDN estimait que Google ne disposait pas de base juridique valable pour mettre en œuvre les traitement de données personnelles pour l’analyse comportementale et le ciblage publicitaire.

Procédure décisionnelle

Conformément à l’art. 56 RGPD, la CNIL a soumis les plaintes aux autorités de contrôle sises dans les autres États membres de l’Union européenne afin de désigner l’éventuelle autorité chef de file.

Un contrôle en ligne a été effectué afin de vérifier le bien-fondé des plaintes. Un rapport contenant une liste des manquements constatés a été communiqué à Google pour première prise de position. D’autres observations ont été émises par Google avant la prise de décision.

Motifs de la décision

Compétence de la CNIL

Google a commencé par contester la compétence de la CNIL pour mener la procédure, argüant que Google Ireland doit être considéré comme l’établissement principal de Google, ce qui fonderait la compétence de l’autorité irlandaise de contrôle (1). Google soutient encore que les mécanismes de coopération du RGPD entre les autorités de contrôle auraient dû s’appliquer (2), et enfin que les discussions informelles entre ces autorités n’ont aucun effet juridique (3).

  1. La CNIL commence par analyser la notion d’établissement principal. Se basant sur l’art. 4 ch. 16 et le considérant 16 du RGPD, elle rappelle que cette notion doit s’apprécier au regard des circonstances d’espèce, et que cela ne correspond pas toujours nécessairement au siège social européen d’une multinationale, comme l’a du reste indiqué le Comité européen de protection des données (CEPD) dans ses lignes directrices du 5 avril 2017 relatives à la désignation d’une autorité chef de file. La CNIL considère ainsi que Google Ireland a de nombreux moyens financiers et humains permettant la fourniture de services par Google en Europe, Cependant, elle rejette l’argument de Google selon lequel Google Ireland aurait un pouvoir décisionnel sur les traitements de données personnelles couverts par la politique de confidentialité de Google. Google Ireland n’est d’ailleurs pas mentionnée dans ladite politique, et Android n’est développé que par Google aux États-Unis. Quand bien même Google a annoncé vouloir transférer des responsabilités concernant les traitements de données personnelles à Google Ireland au 31 janvier 2019, la CNIL a constaté qu’au vu de tous ces éléments, Google Ireland ne pouvait être considéré comme l’établissement principal de Google en Europe. En l’absence d’un tel établissement qui aurait permis l’identification d’une autorité chef de file, la CNIL est donc compétente.
  2. Le fait qu’aucun établissement principal n’existe n’a d’effet que sur la non-désignation d’une autorité chef de file et sur la non-application du mécanisme de guichet unique. En outre, la CNIL a communiqué les plaintes à toutes les autorités de contrôle, aucune n’ayant jugé utile de saisir le CEPD en raison de l’incertitude sur l’identification de l’autorité chef de file ou de la compétence de la CNIL. Cette dernière n’était donc pas tenue de saisir le CEPD pour identifier une autorité chef de file. Par ailleurs, une procédure de coopération a bien été engagée par la CNIL selon l’art. 60 RGPD, procédure qui n’a pas été poursuivie en raison de l’absence d’un établissement principal et de l’absence de désignation d’une autorité chef de file. La CNIL a de surcroît informé ses homologues de l’avancement de la procédure.
  3. La CNIL considère enfin qu’elle n’était pas tenue d’informer Google des actions de coopération entre autorités et que Google n’était pas légitimée à participer aux échanges entre autorités.

Procédure

Google soutient que les plaintes ne sont pas recevables, ce à quoi la CNIL rétorque à titre liminaire que cela n’aurait de toute façon aucune influence sur la légalité de la procédure car la saisine de la CNIL n’est pas subordonnée à la réception d’une plainte, une procédure pouvant être engagée d’office sur la base des constatations de l’autorité. Au demeurant, les deux associations ont reçu de leurs membres le mandat de les représenter selon l’art. 80 RGPD.

Google se plaint aussi d’une violation de la garantie du procès équitable (art. 6 CEDH), notamment en raison de la langue utilisée (le français) et des délais de réponse mis à disposition par la CNIL. Cette dernière a balayé ces deux arguments.

Périmètre d’investigation

Google conteste certains points du périmètre qui ne sont guère intéressants à rapporter ici.

Manquement aux obligations de transparence et d’information

Le rapporteur de la CNIL soutient que Google viole ses obligations relatives aux informations à fournir lorsqu’un traitement est mis en œuvre (art. 12 et 13 RGPD). Google affirme le contraire.

En substance, la CNIL reconnait que Google a fait des progrès en termes de transparence et de contrôle donné aux utilisateurs sur leurs données. Elle vient ensuite sur la notion d’accessibilité des informations, selon laquelle la personne doit être en mesure de déterminer à l’avance quels traitements seront mis en œuvre. Les choix ergonomique du responsable de traitement (ici, Google) sont donc déterminants. La CNIL relève que Google a éparpillé les informations dans plusieurs documents, qui ne sont pas tous accessibles directement, et que les choix ergonomiques de Google fragmentent l’information (des boutons et liens doivent être cliqués pour accéder aux informations). La quantité d’informations à lire avant de pouvoir identifier les traitements de données est trop importante. La personne devra enfin recouper et croiser des informations pour comprendre quels traitements sont mis en œuvre. Par exemple, cinq actions sont nécessaires à l’utilisateur pour accéder à l’information sur la personnalisation des annonces, et six pour la géolocalisation. La CNIL conclut donc à un défaut global d’accessibilité des informations ; elle concède pourtant qu'une information exhaustive, dès le premier niveau, serait contreproductive et ne respecterait pas l’exigence de transparence.

La CNIL continue en soulignant que les traitements mis en œuvre par Google sont “particulièrement massifs et intrusifs” et que les données proviennent de nombreuses sources. A cet égard, Google traite des données qui sont générées par l’utilisateur lui-même, des données qui sont générées par son activité, et d’autres données dérivées ou inférées par les deux catégories précédentes.

Les informations fournies à l’utilisateur doivent être claires et compréhensibles, selon l’art. 12 RGPD, et c’est à la lumière des traitements mis en œuvre que le caractère clair et compréhensible doit être analysé. En bref, en ce qui concerne l’information mise à disposition par Google, la CNIL considère que

  • les finalités des traitements sont décrites de manière trop générique vu la portée et les conséquences des traitements mis en œuvre ;
  • la description des finalités ne permet pas aux utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur sphère privée ;
  • la description des données collectées est imprécise et incomplète.

Le défaut de clarté et du caractère compréhensible doit aussi s’analyser en fonction de la base juridique sur laquelle repose le traitement (en l’espèce : le consentement). La CNIL indique que les formulations de Google ne permettent pas à l’utilisateur de faire la distinction entre la publicité personnalisée (réalisée grâce aux données d’utilisateur, et sur la base de leur consentement) et les autres formes de ciblage fondées sur l’intérêt légitime. Elle souligne qu’un effort de clarté est nécessaire sur cette distinction.

Enfin, la CNIL souligne que les efforts de Google relativement aux outils qu’il met à la disposition des utilisateurs (pop-up d’information, check-up confidentialité, dashboard) ne contribue que partiellement à l’objectif de transparence. L’information devant être fournie au moment où les données sont collectées, les outils en en question ne sont mis à disposition qu’une fois le compte Google créé, autrement dit après la mise en œuvre d’une multitude de traitements de données.

Absence d’une base juridique pour la mise en oeuvre des traitements

Google déclare ne se baser que sur le consentement pour les traitements relatifs à la publicité ciblée, et respecter le RGPD à cet égard. Les conditions pour l’obtention du consentement sont au nombre de cinq et sont énumérées à l’art. 4 ch. 11 RGPD : il doit consister en une manifestation de volonté (opt in), être libre, spécifique, éclairé et univoque.

Sur le caractère éclairé, la CNIL indique au préalable que ce qui précède quant au défaut de transparence a nécessairement un impact sur la condition du caractère éclairé. En l’espèce, au vu de la dissémination de l’information, la CNIL considère que cette exigence n’est pas remplie. Notamment, il n’est pas possible de prendre connaissance des services, sites et applications de Google auxquelles cette dernière fait référence dans ses CGU et politique de confidentialité.

En ce qui concerne l’aspect spécifique et univoque, la CNIL relève d’abord qu’à la création du compte Google, l’utilisateur a la possibilité de modifier certains paramètres. Néanmoins, les paramètres liés à la personnalisation du compte et à l’affichage de publicités ciblées sont activés par défaut. La CNIL en déduit que l’accord de l’utilisateur est donné pour les traitements visés. Le consentement n’est donc pas valablement recueilli car il n’est pas donné par un acte positif mais par une opposition au traitement (opt out). Il n’est d’ailleurs pas spécifique car l’acceptation des CGU et de la politique de confidentialité n’est possible qu’en bloc, empêchant ainsi un choix granulaire des traitements. A tout le moins, avant que l’utilisateur se voie proposer le choix de tout accepter ou tout refuser, on doit lui offrir la possibilité de donner son consentement spécifique pour chaque traitement.

Sanction et publicité

Les faits et manquements de Google justifient, selon la CNIL, le prononcé d’une amende. En effet, les manquements concernent la licéité des traitements et l’obligation de transparence, la CNIL relevant en outre que les violations des art. 6, 12 et 13 RGPD sont plus sévèrement sanctionnées (cf. art. 83 ch. 5 RGPD). Entre outre, les violations sont continues et perdurent encore à ce jour.

Le nombre de personnes concernées correspond selon Google à 7% des utilisateurs ; en absolu, la CNIL considère que les chiffres (caviardés dans la décision) sont cependant particulièrement importants. Celle-ci rappelle que Google met en œuvre des traitements de données “d’une ampleur considérable”, concernant des millions d’utilisateurs en France. Un grand nombre de données personnelles est traités, certaines données étant d’ailleurs déduites d’autres informations. La CNIL estime encore que Google “dispose d’opérations de combinaisons au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs”.

La CNIL met enfin en lien les manquements de Google et son modèle économique. Elle estime ainsi que Google doit porter une attention toute particulière à la responsabilité qui lui incombe concernant les données personnelles.

Pour toutes ces raisons, une sanction de 50 millions d’euros ainsi qu’une sanction complémentaire de publicité de la décision est justifiée.

Commentaire

La décision de la CNIL est sujette à recours et il ne fait aucun doute que Google usera de tous les moyens judiciaires à sa disposition pour contester l’analyse de la CNIL. Le combat ne fait donc que commencer.

Certains regrettent que la sanction soit trop clémente (on serait très loin des 4% du chiffre d’affaire mondial). Cette sanction doit, à mon sens, être vue comme un coup de semonce pour les géants de la Silicon Valley, et les sociétés du monde entier. Un avertissement aussi destiné à Facebook puisque la plainte de NOYB et LQDN le visait aussi.

Pour le reste, les constatations de la CNIL me semblent pertinentes. Il est intéressant de suivre son raisonnement, de voir les liens qu’elle tisse entre les dispositions du RGPD et le résultat final. Le simple fait qu’elle indique ne pas prendre en compte la recevabilité d’une plainte car elle peut ouvrir d’office des procédure est un signal fort qui devrait inciter les responsables de traitement et les sous-traitants à plus de vigilance.

On attend la décision relative à Facebook avec une relative impatience…