Et si nos données personnelles devenaient une véritable préoccupation ou l’affaire Google LLC
Le 21 janvier dernier, la CNIL a rendu sa première décision fondée sur le Règlement européen de la protection des données personnelles (ci-après « RGPD ») et a condamné la société Google LLC à une amende administrative de 50.000.000 €[1].
Ce contentieux a pour origine la création d’un compte Google lors de la configuration d’un téléphone sous système d’exploitation Androïd, qui rappelons-le, a été lancé par la société Google LLC en 2007.
La création d’un tel compte, qui n’est certes pas obligatoire pour utiliser le téléphone, permet notamment l’accès à de nombreux services gratuits de Google tels que la messagerie gmail et le célèbre média social Youtube.
Ce compte n’étant pas payant, un des moyens de rémunération passe nécessairement par la publicité. Ainsi, la société Google LLC procède à divers traitements des données personnelles de ses utilisateurs et notamment le ciblage publicitaire.
Les 25 et 28 mai derniers, deux associations, la première de droit autrichien, None of Your Business et la seconde, de droit français, La Quadrature du Net saisissaient la CNIL de deux plaintes collectives.
Ces associations qui représentaient plus de 9900 usagers, reprochaient au Géant des moteurs de recherches que:
- les utilisateurs du système d’exploitation Androïdne pourraient pas utiliser leurs téléphones s’ils n’acceptent pas au préalable la politique de confidentialité et les conditions générales d’utilisation des services de Google ;
- le traitement des données personnelles ayant pour objectifs l’analyse comportementale et la personnalisation de la publicité n’est fondé sur aucune base juridique.
Par délibération du 21 janvier 2019, la CNIL a condamné la société Google LLC pour non respect des dispositions du RGPD applicable depuis le 25 mai 2018.
Cette délibération de l’Autorité régulatrice française apparait importante à plus d’un titre.
Tout d’abord, il s’agit de la première décision de la CNIL faisant application du RGPD et s’appuyant également sur les lignes directrices du Comité Européen de la Protection des Données.
Puis, le montant de l’amende administrative est une première puisqu’elle atteint 50.000.000 €.
Enfin, la CNIL apporte des précisions attendues sur certaines obligations prévues par le RGPD, à savoir, les obligations de transparence et d’informations ainsi que la licéité du traitement.
Manquements aux obligations de transparence et d’informations :
L’article 12 du RGPD dispose :
« Le responsable du traitement prend des mesures appropriées pour fournir toute information (…) d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples… ».
Il ressort de la délibération susmentionnée que lors de la création d’un compte Google, de nombreuses informations concernant les différents traitements mis en œuvre par la société sont disséminées dans plusieurs documents.
L’utilisateur doit inévitablement « multiplier les clics » (sic)[2]et procéder à une lecture combinée de ces documents pour prendre connaissance de l’ensemble des informations exigées par le RGPD.
Ainsi, la société Google LLC ne répond pas à l’exigence d’accessibilité des informations.
En effet, pour la CNIL « l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement ».
Puis, les informations sur les traitements ne sont ni suffisantes ni claires.
La CNIL constate que Google LLC traite 4 catégories de données :
- les « données de sources externes » ;
- les « données produites par la personne » (ex : nom, numéro de téléphone, moyens de paiement…) ;
- les « données générées par son activité » (ex : données de géolocalisation, recherches effectuées …) ;
- les « données dérivées ou inférés »[3]des deux catégories précédentes.
Pour la CNIL, ce sont des traitements « massif et intrusifs »[4]pour lesquels les informations données sont générales et vagues et ne « permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard » ainsi que « l’ampleur des traitements et le degré d’intrusion dans leur vie privée »[5].
Enfin, de nombreuses informations sur les traitements ne sont indiquées que postérieurement à la création du compte, soit après que l’utilisateur ait donné son consentement ce qui est en parfaite contradiction avec les dispositions du RGPD.
Base légale du traitement mis en œuvre et mauvaises pratiques :
En premier lieuet pour rappel, tout traitement de données personnelles doit obligatoirement s’appuyer sur une base légale au risque d’être qualifié d’illicite (article 6 RGPD).
Dès lors, les traitements qui s’appuient sur le consentement de la personne concernée ou encore l’intérêt légitime poursuivi par le responsable de traitement sont licites.
En l’espèce,il a été jugé que la société Google LLC reste très floue sur la base légale sur laquelle elle se fonde pour les traitements relatifs au ciblage publicitaire.
D’un côté, elle prétend se fonder sur le consentement des utilisateurs pour permettre les divers traitements ; d’un autre, elle affirme que les traitements reposent sur un intérêt légitime et ne nécessitent donc pas de consentement.
En second lieu, le consentement doit être donné de manière éclairée, spécifique et univoque.
En l’espèce, selon la CNIL, les manquements aux obligations de transparence et d’informations vus ci-dessus permettent d’affirmer que le consentement des utilisateurs de Google LLC n’est pas éclairé.
Enfin, dans la mesure où Google LLC a recours à la technique des cases pré-cochées (en particulier pour le ciblage publicitaire) et que la lecture, par ses utilisateurs, de l’intégralité des informations sur les traitements, nécessite immanquablement un acte positif de leur part (obligation de cliquer sur plusieurs liens), le consentement ne peut être considéré comme spécifique et univoque.
En conséquence et eu égard, notamment, à la gravité des manquements (défaut de transparence et d’informations et illicéité de certains traitements), la société Google LLC a été condamnée, sur le fondement de l’article 83 du RGPD à une amende administrative d’un montant record de 50.000.000 €.
La société Google LLC qui aurait d’ores et déjà annoncé faire appel de la délibération de la CNIL fait également l’objet d’une procédure devant la Cour de Justice de l’Union Européenne, portant sur le champ d’application territoriale de la directive européenne 95/46/CE abrogée par le RGPD.
Le déréférencement et le « géo-blocage » étant directement au cœur de ce nouveau contentieux, il s’agit d’une affaire à suivre.
Laetitia Fuchs
Avocat à la Cour
[1]Délibération n° SAN-2019-001 21 janvier 2019