La CNIL a prononcé une sanction de 50 M€ à l’encontre de la société Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour personnalisation de la publicité.
Les 25 et 28 mai 2018, la Commission nationale de l’informatique et des libertés a reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de l’association La Quadrature du Net (« LQDN »). LQDN était mandatée par près de 10 000 personnes pour saisir la CNIL. Dans ces deux plaintes, les associations reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.
L’instruction des plaintes par la CNIL
La CNIL a immédiatement commencé à instruire ces plaintes. Par ailleurs, le 1er juin 2018, conformément aux dispositions relatives à la coopération européenne fixées par le RGPD, la CNIL a soumis ces deux plaintes à ses homologues européens pour vérifier si elle était compétente pour les traiter. En effet, le RGPD institue un mécanisme du « guichet unique » qui prévoit qu’un organisme établi dans l’Union européenne doit avoir pour seule interlocutrice l’autorité du pays où est situé son « établissement principal ». Cette autorité de protection fait alors office d’autorité « chef de file ». Elle doit à ce titre, avant de prendre une décision, se coordonner avec les autres autorités nationales de protection des données.
En l’espèce, les échanges avec les autres autorités, notamment l’autorité de protection irlandaise où se situe le siège européen de Google, n’ont pas permis de considérer que Google disposait d’un établissement principal dans l’Union européenne. En effet, à la date à laquelle la CNIL a entrepris ses poursuites, l’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile.
Le système dit du « guichet unique » n’étant pas applicable, la CNIL, au même titre que toutes les autres autorités de protection de l’Union, était dès lors compétente pour prendre des décisions concernant les traitements mis en œuvre par Google. Elle l’a fait en appliquant le nouveau cadre européen tel qu’il a été interprété par l’ensemble des autorités européennes dans des lignes directrices du Comité européen de protection des données.
Afin d’instruire les plaintes dont elle était saisie, la CNIL a procédé en septembre 2018 à un contrôle en ligne. L’objectif était de vérifier la conformité à la loi informatique et libertés et au RGPD des traitements de données personnelles réalisés par Google, en analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android.
Les manquements constatés
Sur la base des investigations menées, la formation restreinte – chargée de prononcer les sanctions – a constaté deux séries de manquements au RGPD.
- Un manquement aux obligations de transparence et d’information
Tout d’abord, la formation restreinte relève que les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs.
En effet, l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.
- De même, la formation restreinte constate que les informations délivrées ne sont pas toujours claires et compréhensibles.
Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google. Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité
La société Google invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or la formation restreinte estime que le consentement n’est pas valablement recueilli pour deux raisons.
Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur. Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliquées dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées.
Ensuite, la formation restreinte constate que le consentement recueilli n’est pas « spécifique » et « univoque ».
Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton « plus d’options », présent avant le bouton « Créer un compte ». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées. Le RGPD n’est pas pour autant respecté.
La sanction prononcée par la formation restreinte et sa publicité
C’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD. Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement.
La délibération de la formation restreinte de la CNIL, cliquez ici