Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Cette sanction fait suite à la saisine de la CNIL par les associations None Of Your Business (NOYB) et La Quadrature du Net (LQDN) représentant ensemble 9974 personnes.

Cette décision, au-delà de la sanction record prononcée, apporte de nombreux éléments quant à l’application des dispositions du RGPD par la CNIL. Celle-ci a effectué un travail pédagogique en détaillant particulièrement l’argumentation menant à la sanction.

• L’interrogation des autorités de contrôle dans le cadre de la procédure du guichet unique : des précisions sur la notion d’établissement principal

Dans la mesure où le siège européen de Google est situé en Irlande, la question de la compétence des autorités de contrôle devait être soulevée. En effet, le principe du « One Stop Shop » instauré par le RGPD prévoit en effet qu’un organisme établi dans l’Union européenne a pour interlocutrice, l’autorité de contrôle du pays où est situé son établissement principal. Toutefois, l’établissement irlandais ne disposant pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par GOOGLE LLC en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile, l’autorité de protection des données Irlandaise ne pouvait être en l’espèce désignée chef de file.

Il convient de souligner qu’une solution différente pourra être retenue selon le niveau d’implication du siège irlandais dans la mise en œuvre du traitement.

• Les différents manquements constatés

  « La formation restreinte rappelle que l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données et donc de suffisamment les informer et de les mettre en situation de consentir valablement. »

La sanction porte donc à la fois sur l’information et sur la maitrise des personnes concernées rappelant qu’il s’agit ici de garanties fondamentales relatives à leur vie privée.

• Concernant les manquements à l’obligation de transparence et d’information : le rappel de la transparence qui passe par une base juridique claire

Le RGPD renforce les droits des personnes notamment quant à l’information qui doit leur être délivrée en définissant précisément, aux articles 13 et 14, le contenu de l’information devant être fournie à la personne concernée.

La formation restreinte de la CNIL constate que l’information est disséminée dans plusieurs documents et n’est pas aisément accessible aux personnes concernées. Si le G29 a pu rappeler à plusieurs reprises, et notamment dans ses lignes directrices, que l’information pouvait être délivrée par strate, en l’espèce, l’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. La formation restreinte constate en particulier l’éclatement de cette information en ce qui concerne les traitements relatifs à la personnalisation des publicités, ou pour sa géolocalisation.

La CNIL rappelle également que l’information doit être non seulement accessible mais également aisément compréhensible. L’ampleur des traitements réalisés accroit d’autant plus l’importance de délivrer une information claire.

La CNIL constate en particulier que la base juridique des traitements n’est pas clairement identifiée. C’est notamment le cas de traitements fondés sur le consentement. Or, il convient de rappeler ici que dès lors que le traitement est fondé sur le consentement de la personne, celle-ci doit avoir la possibilité de retirer ce consentement à tout moment conformément à l’article 7 du RGPD. Il est donc particulièrement important que l’utilisateur comprenne que le fondement du traitement repose sur son consentement et non sur l’intérêt légitime de Google afin, le cas échéant, de pouvoir librement choisir de fournir son consentement ou de le retirer ultérieurement.

• L’absence de consentement valide : les exigences de l’expression du consentement

La formation restreinte constate que le consentement n’est non seulement pas éclairé mais il n’apparait ni spécifique ni univoque.

Ainsi, le traitement des données à des fins de personnalisation de la publicité, fondé sur le consentement, ne doit pas être mis en œuvre par défaut. La formation restreinte de la CNIL rappelle que le caractère univoque du consentement ne peut être obtenu que par une action positive de l’utilisateur.

En outre, lorsque plusieurs traitements reposent sur le consentement (en l’espèce la personnalisation de la publicité, la reconnaissance vocale etc.) le consentement doit être spécifique à chaque finalité. Or, en l’espèce, un consentement unique englobait l’ensemble de ces différentes finalités.

La publicité de cette décision permet d’attirer la vigilance des autres responsables de traitement sur le recueil du consentement des personnes concernées comme base légale du traitement. En effet, s’il s’agit d’une des bases légales possibles en application de l’article 6 du RGPD sur la licéité du traitement, fonder son traitement sur le consentement implique de s’assurer que celui-ci est éclairé, univoque et spécifique mais également qu’il peut être retiré à tout moment.

• La sanction : un montant record pour la CNIL

C’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD. Cette sanction s’inscrit dans un mouvement d’augmentation du niveau de sanctions prononcées récemment. Les dernières décisions prononcées s’élevaient à 400 000€ contre Uber ou encore 250 000 euros contre Bouygues Telecom mais pour des faits antérieurs à l’application du RGPD. Dans la mesure où la formation restreinte a constaté des manquements à la licéité du traitement et à l’information des personnes, Google s’exposait à des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent. La formation restreinte se saisit pour la première fois de la possibilité de sanctionner sur la base d’un pourcentage du chiffre d’affaires réalisé par la société, permettant d’aller au-delà des 20 millions d’euros.

Cette sanction de 50 millions tient compte de la gravité des manquements constatés, du nombre de personnes concernées et de la nécessité de sensibiliser les utilisateurs, conduisant également à la publication de la sanction.

La CNIL marque ici un tournant en prenant pleinement possession des nouveaux pouvoirs accordés par le RGPD.