RGPD: La CNIL sanctionne Google pour 50 millions EUR

Contestation du pouvoir de compétence de la CNIL

D’emblée, Google conteste le fait que la France (donc la CNIL) puisse se saisir d’une plainte à son encontre. Selon Google, la CNIL aurait dû transmettre cette affaire à l’autorité de contrôle irlandaise (la DPC) puisque, depuis 2003, la société Google Ireland Limited abriterait le siège des activités européennes du groupe en ce compris les questions liées aux traitements.

La DPC serait, de ce fait, l’autorité chef de file de Google (article 60 du RGPD) et donc la seule autorité de contrôle compétente quant aux activités de traitements de données personnelles effectuées par Google sur le territoire européen.

La CNIL va balayer ces arguments.

Cette dernière considère qu’au moment de la décision, Google ne s’était pas organisée pour que Google Ireland Limited soit réellement responsable des traitements objets du litige.

L’autorité de contrôle française va soulever plusieurs arguments  à ce sujet:

• le fait que la politique de confidentialité de Google ne mentionne pas la société irlandaise comme étant la société ayant pris les décisions relatives aux moyens et finalités des traitements ;
• elle n’a pas nommé de Délégué à la Protection des Données (un DPO) qui aurait été en charge des traitements de données à caractère personnel à travers l’Union européenne ;
• Google Inc. elle-même a indiqué à la CNIL qu’un transfert de responsabilité vers la société irlandaise relativement à certains traitements concernant des ressortissants européens ne serait réalisé que fin 2019.

Sans pouvoir décisionnel, la société irlandaise ne pouvait donc être considérée comme l’établissement principal de Google LLC en Europe (ce qui aurait permis d’identifier une autorité chef de file et de faire jouer le mécanisme du guichet unique au sens du RGPD), et était bien soumise au contrôle de la CNIL.

Il reste à voir si ce que Google a annoncé, à savoir un transfert de responsabilité de la société US vers la société irlandaise concernant certains traitements de données personnelles visant les ressortissants européens, suffira à ce que la société Google d’Irlande soit considérée comme l’établissement principal de l’entreprise en Europe. Si tel était le cas (ce qui nécessitera une analyse in concreto et pas une simple analyse des statuts des sociétés), la DPC pourrait être l’unique autorité de contrôle responsable de l’ensemble des activités de Google en Europe.

Nous n’en sommes pas
encore là.

Google pris en défaut d’informer clairement
sur ses futurs traitements

Au moment de la collecte de données personnelles, le RGPD impose aux responsables de traitement de fournir aux personnes concernées, de façon claire, transparente et compréhensible, certaines informations concernant les futurs traitements (art. 12 à 14 du RGPD).

Après une analyse minutieuse du processus de création d’un compte Google et donc de l’entrée d’un internaute dans l’environnement Google, la CNIL considère que la société américaine manque totalement à ses obligations de transparence et de clarté. Il faut parcourir trop d’informations génériques, lire de nombreux documents épars et parfois incomplets en eux-mêmes, ouvrir trop de liens (six en ce qui concerne la géolocalisation, quatre pour les durées de conservation), activer de soi-même certains outils ou dashboards et ce parfois postérieurement à la collecte des données personnelles (et non au moment même).

Il est donc impossible de comprendre facilement et directement la portée des traitements (qualifiés de massifs et d’intrusifs) qui seront réalisés par après par Google sur les données personnelles.

Aucune base juridique pour réaliser
les publicités ciblées

Envoyer des publicités ciblées requiert de traiter les données personnelles des utilisateurs. A ce sujet, Google dispose-t-il de la base juridique adéquate (le consentement de ses utilisateurs) ?

Le RGPD précise en son article 7 les modalités de tout consentement : celui-ci doit être libre, spécifique, non équivoque et éclairé.

Or, les consentements des utilisateurs sont recueillis par Google via de trop nombreux documents mis à disposition de ses futurs ou même actuels utilisateurs, des liens épars, des informations peu transparentes et difficilement accessibles (parfois même impliquant des cases de choix pré-cochées).

Ce faisant, Google ne respecte pas les conditions prescrites par le RGPD. L’internaute doit accepter en bloc l’ensemble des traitements mis en œuvre par Google y compris à ceux de personnalisation de la publicité.

Le chemin à parcourir ne permet aucunement à l’internaute de comprendre qui est le responsable du traitement ni ce à quoi il consent. Son consentement n’est donc en aucun cas éclairé, spécifique et univoque.

Une sanction importante et justifiée
au vu des traitements réalisés

Au vu de son analyse sur l’attitude non transparente et contraire au RGPD de Google ainsi que de l’impact de ses activités sur la vie presqu’intime de millions de personnes, la CNIL va imposer une amende d’un montant inimaginable il y a quelques années : 50 millions d’euros. Ce montant est bien peu comparé à l’étendue des sanctions possibles et au chiffre d’affaires mondial de Google mais il risque toutefois de faire réfléchir les sociétés qui continueraient à ne pas respecter les conditions essentielles de transparence, de compréhension, de lisibilité et d’informations préalables du RGPD.

Cette décision (annonciatrice de la position hollandaise équivalente en matière de cookies) appelle aussi à bien réfléchir sur les bases juridiques des traitements des responsables.

A bon entendeur…

Axel Beelen, Juriste spécialisé en protection des données personnelles (@ipnewsbe)

Jeoffrey Vigneron, Avocat au barreau de Bruxelles, www.lawgitech.eu