De quoi l’amende de 50 millions d’euros sanctionnant Google est-elle le nom ?
Cette formule de titre empruntée à Alain Badiou vise à introduire le fait que Google a été sanctionnée par la CNIL, le 21 janvier dernier, à une amende sans précédent.
Essayons de revenir sur les points de droit les plus marquants de cette décision qui restera la première basée sur le RGPD, compte tenu du principe de l’application de la loi dans le temps.
Le présent article ne reprendra donc pas les 190 paragraphes qui expliquent les arguments de Google et les réponses que lui a présentées la CNIL, mais cibleront certaines d’entre elles jugées comme les plus utiles à la compréhension d’une décision qui a des airs de « cours de droit des données à caractère personnel à l’attention d’une société mondialement connue ».
Le nom d’une plainte collective initiée sur la base de l’article 80 du RGPD
La CNIL indique qu’elle a été saisie par les associations None Of Your Business (NOYB) et La Quadrature du Net (LQDN), lesquelles intervenaient dans le cadre de plaintes collectives au soutien de 9974 personnes. Ces plaintes distinctes visaient le système d’exploitation Android et le ciblage publicitaire mis en œuvre par la société Google indépendamment du terminal utilisé.
Le nom d’une menace de sanction connue par Google depuis octobre 2018 et qu’elle a pu contre-critiquer avant qu’elle ne soit prononcée
La CNIL, après s’être concertée avec ses homologues européens, a effectué un contrôle en ligne relatif à l’utilisation du système d’exploitation Android avant de transmettre le rapport qui en est le résultat à Google. Son rapport indiquait à Google, déjà depuis le 22 octobre 2018 à Google la volonté de la CNIL de la condamner à 50 millions d’euros d’amende sur la base de manquements à 3 articles phares du RGPD liés aux notions de licéité du traitement et de droits des personnes concernées.
Un débat contradictoire a donc été initié depuis cette date afin que Google formule ses observations écrites à plusieurs reprises et que le rapporteur désigné y réponde. Cette période visant à laisser le temps à Google de convaincre la CNIL de changer sa position initiale s’est achevée le 15 janvier 2019.
Le nom d’une CNIL s’estimant pleinement compétente pour sanctionner Google LLC
Au prix d’un raisonnement très précis, lorsqu’il a fallu répondre à l’argumentation soulevée par Google, selon laquelle l’autorité nationale de contrôle basée en France était incompétente pour la sanctionner, la CNIL a notamment renvoyé cette dernière, d'une part, à sa propre politique de confidentialité qui ne désignait pas Google Ireland Limited comme son établissement principal (responsable de traitement) au sein de l’Union Européenne, d'autre part, au fait que Google n’a pas non plus désigné de DPO au niveau européen et enfin, au fait que le système d’exploitation au cœur du débat est développé par la société Google LLC basée aux Etats-Unis.
S’il n’y avait pas d’établissement principal identifié, la CNIL pouvait, dès lors, se considérer comme compétente conformément à l’article 56.2 du RGPD qui dispose que : « Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement ».
Le nom d’une procédure conforme aux droits de la défense
Google a d’abord soutenu que les plaintes des associations étaient irrecevables.
La société a ensuite indiqué que la procédure qui la visait méconnaissait son droit à un procès équitable au sens de l’article 6 de la CEDH de par un rapport transmis en langue française et le refus d’étendre le délai pour produire ses différentes observations qui ne lui auraient pas permis de préparer sa défense.
En réponse, la CNIL faisait valoir que les deux associations étaient bien légitimes à accueillir les plaintes, qu’elle les a déposées au nom des personnes qui lui ont donné mandat en ce sens, que la CNIL avait, en tout état de cause, la possibilité de s’auto-saisir des mêmes faits et que les délais prévus pour que Google produise ses observations sont exactement ceux prévus dans les textes et qu’une demande d’extension de délai a même été accordée à Google.
Pour ce qui est de la langue du rapport, elle s’est contentée d’indiquer que Google France SARL comptait plusieurs centaines de salariés, que l’ensemble des documents au cœur du débat lui avait été transmis et que Google avait les moyens financiers et humains pour traduire les documents en question du français vers l’anglais et ce, en temps utile.
Le nom d’une investigation n’ayant jamais eu la prétention d’être complète
Google a soutenu pour sa défense que le périmètre de contrôle de la CNIL (la création d’un compte Google lors de la configuration d’un nouveau smartphone équipé d’Android) était limité puisqu’il ne concernerait que 7% des utilisateurs.
A cela, la CNIL a notamment répondu que l’article 11.I.2 de la loi informatique et libertés lui offre un large pouvoir d’appréciation quant aux périmètres des contrôles qu’elle peut entreprendre et que ce scénario de contrôle n’empêche pas d’opérer des constatations traduisant une politique de confidentialité plus globale. Par ailleurs, les propres pièces fournies par Google dans le cadre du débat contradictoire laissent apparaître que les utilisateurs qui configurent leur mobile sous Android en y associant un compte déjà existant se trouvent, s’agissant de l’information qui leur est communiquée, dans une situation analogue aux utilisateurs qui procéderaient à la création d’un nouveau compte.
Le nom d’une violation des obligations de transparence et d’information
C’est ce point qui est au cœur de la sanction.
La CNIL reproche à Google d’avoir violé l’obligation visée à l’article 12 selon laquelle elle doit fournir à la personne dont elle collecte les données une information sur les traitements opérés :
- Concise
- Transparente
- Compréhensible
- Aisément accessible
Il en est de même de l’article 13 qui prévoit notamment d’autres obligations liées à la communication d’information spécifique aux finalités du traitement ainsi que la base juridique de celui-ci.
Sans trop rentrer dans les détails, la CNIL constate que l’architecture générale de l’information que communique Google rend celle-ci difficilement trouvable. Elle lui reproche un parcours utilisateur contre-intuitif en détaillant avec précision les difficultés d’accès à l’information avant de conclure à un défaut global d’accessibilité des informations délivrées. En effet, l’accès à l’information nécessitait parfois jusqu’à cinq ou six actions de la part de l’utilisateur.
Elle ajoute ensuite que le caractère clair et compréhensible des informations délivrées n’est pas non plus au rendez-vous.
La CNIL fait le constat de traitements « massifs et intrusifs de données » provenant de sources extrêmement variées avant d’indiquer que les informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences des traitements de leurs données qui sont réalisés, ni le degré d’intrusion dans leur vie privée que ces traitements génèrent.
Le nom d’un consentement équivoque
La CNIL rappelle les différentes possibilités offertes par l’article 6 du RGPD pour considérer qu’un consentement a été valablement obtenu.
Elle indique ensuite que les précédents développements rendent impossible de considérer que la personne concernée a donné un consentement éclairé (faute de transparence et de clarté de l’information fournie).
Pour ce qui est du caractère spécifique et univoque du consentement, elle détaille le parcours de l’utilisateur qu’elle a été amenée à suivre et constate notamment « qu’en étant autorisés et masqués « par défaut », les traitements de personnalisation de la publicité ne sauraient être considérés comme ayant été acceptés par l’utilisateur par un acte positif spécifique et univoque » au sens de l’article 4 (11) du RGPD.
La CNIL rappelle à Google que les lignes directrices du G29 interdisent de considérer qu’une case pré-cochée vaut consentement.
Le nom de la première sanction française basée sur le RGPD
L’amende qui a frappé Google malgré les observations formulées pour sa défense est restée identique à celle qui lui avait été suggérée en octobre 2018. La formation restreinte de la CNIL se base sur le RGPD parce qu’initiée sur la base de constatation postérieure au 25 mai 2018 (application de la loi dans le temps).
Elle justifie son choix par :
- La nature particulière des manquements (dispositions centrales de la protection des données à caractère personnel)
- Le fait qu’au jour de la délibération les manquements perdurent
- La gravité des violations, leur portée et le nombre de personnes concernées. Elle indique notamment que Google « dispose d’opérations de combinaisons au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs ».
- La prise en compte du modèle économique de la société et des avantages qu’elle retire de ces traitements
Le nom d’une sanction pouvant aller jusqu’à 20 millions d'euros maximum ou jusqu'à 4 % du chiffre d'affaires annuel mondial et ainsi fixée à 50 millions
La CNIL avait pris le soin de préciser que Google LLC avait réalisé en 2017 un chiffre d’affaires de 96 milliards d’euros.
En sus des 50 millions d’euros d’amendes prononcés sur la base de l’article 83.6 du RGPD à l’encontre de Google LLC, cette dernière voit sa condamnation publier officiellement sur le site de Légifrance ainsi que sur le site de la CNIL.
Le nom d’un recours plus que probable
Cette décision peut et fera sans doute l’objet d’un recours devant le Conseil d’Etat dans un délai de 4 mois (soit d’ici le 21 mai) eu égard aux sommes, sans précédent, en jeu et au caractère contraignant des infractions sanctionnées par rapport au modèle économique de Google.
D’ici là, il se pourrait que la politique de confidentialité de Google fasse l’objet d’une mise à jour significative. A suivre…