Par une délibération en date du 21 janvier 2019¹, GOOGLE a été sanctionnée par la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL« ) à hauteur de 50 millions d’euros.
Cette délibération, largement commentée par les médias, est le fruit des actions de groupe introduites par les associations « None of Your Business » et « La Quadrature du Net » les 25 et 28 mai 2018. Les plaintes recueillies par ces deux associations regroupaient les réclamations de 9.974 personnes. L’action de groupe, récemment consacrée par le législateur français, permet aux associations de solliciter la cessation du manquement et l’octroi de dommages et intérêts aux personnes dont la protection des données personnelles a été violée (« Les actions de groupe à la lumière du Règlement Général sur la Protection des Données« ).
Sur le plan symbolique, cette sanction constitue une première application par la CNIL des sanctions prévues par le Règlement Général sur la Protection des Données² (ci-après le « RGPD« ). En effet, cette dernière a choisi de sanctionner l’un des GAFA³, d’une part, sur le plan économique, en portant l’amende administrative à 4% du chiffre d’affaires annuel mondial et d’autre part, sur le plan médiatique, en rendant sa délibération publique. La dimension symbolique est d’autant plus forte que GOOGLE a été sanctionnée pour manquement à certains principes essentiels du RGPD : transparence des informations communiquées par le responsable du traitement, informations à fournir aux utilisateurs dont les données à caractère personnel sont traitées, le consentement valablement recueilli.
Surtout, cette délibération de la CNIL fournit toute une série de précisions sur l’application du RGPD fort intéressantes. En effet, ce dernier, qui s’applique depuis le 25 mai 2018, appelle une interprétation de la part des autorités administratives afin de donner aux entreprises les solutions pratiques leur permettant de se conformer aux nouvelles obligations. Tel est l’objet de cette délibération longue de trente-et-une pages.
1) Le manquement aux obligations de transparence et d’information
La CNIL reproche à GOOGLE de ne pas rendre accessibles les informations fournies aux utilisateurs et relève que celles-ci ne sont pas suffisamment claires. Effet, lorsqu’il collecte des données à caractère personnel, le responsable du traitement doit donner un certain nombre de renseignements tels que la finalité du traitement, la durée de conservation des données, les catégories de données à caractère personnel traitées, etc.
Il est vrai qu’en pratique ces informations sont difficilement accessibles lors de la personnalisation d’une publicité ou de la géolocalisation des utilisateurs car plusieurs actions sont nécessaires pour y accéder. Par ailleurs, GOOGLE traite les données à caractère personnel de façon massive et intrusive, ce qui implique que les utilisateurs ne sont pas en mesure d’évaluer la portée des traitements effectués sur leurs données.
Le défaut global d’accessibilité et de clarté des informations délivrées par GOOGLE ont conduit la CNIL à juger que le géant du Web a manqué à ses obligations de transparence et d’information.
2) Le manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de publicité
La CNIL rappelle que le traitement n’est licite que s’il repose sur l’un des fondements ci-dessous :
- La personne concernée par le traitement a donné son consentement pour une ou plusieurs finalités spécifiques ;
- Le traitement est nécessaire à l’exécution d’un contrat ;
- Le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
- Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
- Le traitement est fondé sur l’intérêt légitime du responsable du traitement.
En effet, l’article 6.1 du RGPD impose au responsable du traitement de choisir une base légale pur chaque type de traitement et d’informer les personnes dont les données sont traitées de ses choix. Sur ce point, il est fondamental de rappeler que le consentement est une base légale parmi d’autres et qu’en conséquence, celui-ci n’est pas systématiquement requis.
GOOGLE se fondant sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité, elle a l’obligation de s’assurer que celui-ci était valablement recueilli. Or, tel n’est pas le cas selon la CNIL.
3) Un consentement éclairé, spécifique et univoque
De façon didactique, la CNIL est revenue sur les caractères du consentement.
Elle rappelle tout d’abord que le consentement des utilisateurs doit être éclairé : le responsable du traitement doit informer la personne concernée de certains éléments cruciaux pour opérer un choix tels que la finalité des opérations de traitement, les types de données collectées et utilisées, l’existence du droit de retirer son consentement.
Sur ce point, la CNIL considère que les informations relatives à la personnalisation de la publicité sont difficilement accessibles pour les utilisateurs qui doivent effectuer plusieurs actions. De plus, selon la CNIL, les informations fournies ne sont pas suffisamment claires et précises car elles ne permettent pas de comprendre l’objet et la portée des traitements effectués par GOOGLE.
Le consentement doit en outre être spécifique et univoque. En d’autres termes, cela suppose un acte positif clair de la part des utilisateurs et le consentement doit être donné de façon distincte, au vu de chaque finalité (ex : personnalisation de la publicité, reconnaissance vocale etc.). Or, lors de la création d’un compte sur GOOGLE, les utilisateurs acceptent l’ensemble des traitements en bloc. La CNIL a logiquement considéré que le consentement sur lequel se fonde GOOGLE pour les traitements de personnalisation de publicité n’est pas valablement recueilli.
Cette délibération de la CNIL est donc riche d’enseignements.
GOOGLE a annoncé qu’elle entend contester cette délibération devant le Conseil d’Etat. Une première pour la plus haute juridiction administrative qui aura elle aussi l’occasion d’interpréter les dispositions fondamentales du RGPD.
M&B Avocats
¹ Délibération de la formation restreinte n°1SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC
² Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
³ Acronyme utilisé pour désigner les Géants du Web : Google, Apple, Facebook, Amazon