1. Deux associations saisissent la Cnil les 25 et 28 mai 2018 de plaintes dirigées contre la société de droit américain Google LLC. L’une critique les conditions dans lesquelles les utilisateurs de terminaux mobiles (par exemple, smartphones) reçoivent de la société certaines informations lorsqu’ils configurent leur appareil sous le système d’exploitation « Android ». L’autre reproche à Google de ne pas recueillir valablement le consentement des intéressés quand elle traite des données personnelles à des fins de ciblage publicitaire.
La formation restreinte de la Cnil, compétente en matière de sanctions, vient d’infliger une amende de 50 M€ à l’opérateur. Elle développe longuement son appréciation en se référant pour l’essentiel au règlement européen 2016/679 du 27 avril 2016, dit « règlement général sur la protection des données » (RGPD), qui est directement applicable dans les Etats membres de l’Union européenne depuis le 25 mai 2018. Si les manquements en cause ont débuté avant cette date, la formation restreinte relève qu’ils persistent au jour de sa décision et présentent donc un caractère continu.
Cette décision fait l'objet d'un recours devant le Conseil d'Etat.
Compétence de la Cnil
2. La société Google conteste la compétence de la Cnil. Elle se prévaut de l’article 56, 1 du RGPD qui désigne, en cas de traitement de données transfrontalier, l’autorité de contrôle de l’établissement principal du responsable de traitement en tant qu’autorité « chef de file » (mécanisme du « guichet unique » ou « one stop shop »). Google fait valoir qu’elle exploite en Irlande une société regroupant toutes ses activités dans l’Union européenne (Google Ireland Limited), laquelle constituerait son établissement principal. Elle en déduit que seule l’autorité de contrôle irlandaise peut valablement se prononcer.
3. La Cnil écarte cet argument en objectant que la société irlandaise ne répond pas aux critères de l’établissement principal, tels qu’ils ressortent du RGPD. En effet, pour pouvoir être ainsi qualifié, l’établissement doit être le lieu de l’« administration centrale » du responsable de traitement, ce qui implique la détention d’un véritable pouvoir de décision sur les finalités et les moyens des traitements transfrontaliers (art. 4, 16). Or, si Google Ireland dispose d’importants moyens humains et financiers, cette société ne saurait être considérée comme possédant un pouvoir décisionnel.
Manquements aux règles relatives à l’information des personnes concernées
4. L’article 12 du RGDP exige que le responsable d’un traitement de données transmette aux personnes concernées par ce traitement diverses informations « d’une façon concise, transparente, compréhensible et aisément accessible ». L’article 13 fixe la liste des informations que le responsable d’un traitement doit fournir à une personne si les données en cause ont été directement collectées auprès d’elle.
La Cnil examine la portée de ces dispositions au regard des lignes directrices sur la transparence que le « G 29 » (groupe des « Cnil » européennes, devenu aujourd’hui Comité européen de protection des données) a adopté le 29 novembre 2017 et révisé le 11 avril 2018 (wp260 rev. 01).
5. Pour estimer que ces règles ont été méconnues à l’égard des utilisateurs de terminaux mobiles, la formation restreinte retient notamment que :
- les informations adressées aux utilisateurs sont excessivement fragmentées, car réparties entre plusieurs documents comportant différents boutons et liens ;
- la consultation d’un même document peut impliquer de nombreuses actions, telles que parfois cinq ou six « clics » ;
- certaines informations sont particulièrement difficiles à trouver (par exemple, sur les données de géolocalisation ou la durée de conservation de l’ensemble des données) ;
- les utilisateurs ne sont pas toujours en mesure de percevoir les incidences des traitements en cause sur leur vie privée ;
- le défaut de lisibilité des informations se trouve aggravé par le caractère « massif et intrusif » des traitements mis en œuvre par Google dû à la multiplicité et à la nature des données traitées.
Manquements aux règles relatives à la licéité des traitements
6. L’article 6 du RGPD subordonne la validité d’un traitement de données personnelles à la condition que la personne concernée ait consenti au traitement de ces données. Le consentement est défini comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque » (RGPD art. 4, 11).
Là encore, la Cnil apprécie l’application de ces dispositions au regard des lignes directrices sur le consentement, adoptées le 28 novembre 2017 par le « G 29 » et révisées le 10 avril 2017 (wp259 rév. 01).
7. La Cnil considère que le consentement des utilisateurs des services de Google aux traitements de « personnalisation de la publicité » n’est pas recueilli de manière conforme aux dispositions applicables : ni l’exigence d’un consentement « éclairé » ni celle d’un consentement « spécifique et univoque » ne sont satisfaites.
Elle reproche d'abord à Google de ne pas mettre en mesure les intéressés d’appréhender clairement la portée des informations portant sur les traitements destinés au ciblage publicitaire. C’est le même type de critique qu’à l’égard des informations fournies aux utilisateurs lors de la configuration de leur terminal mobile : les informations relatives à la « personnalisation de la publicité » sont disséminées dans des documents distincts, difficilement accessibles.
Le caractère insuffisamment spécifique et univoque du consentement des personnes concernées résulte principalement de l’absence d'exigence d’une action positive marquant ce consentement et propre à la finalité du traitement en question. Ainsi, les cases correspondantes sont-elles précochées par défaut, pratique que le règlement européen réprouve (RGPD considérant 32).
L’ordonnance 2018-1125 du 12 décembre 2018 qui a réécrit la loi Informatique et libertés n’est pas encore entrée en vigueur (BRDA 3/19 inf. 23). Si elle avait été applicable ici, l’appréciation de la Cnil n’aurait pas été différente. La raison en est simple : dans le cas des dispositions du RGPD (art. 6, 12 et 13) sur lesquelles se fonde la décision de la Cnil, l’ordonnance procède essentiellement par renvoi à celles-ci.
Montant de la sanction
8. L’amende prononcée par la formation restreinte est particulièrement élevée. Elle s’inscrit dans le cadre du nouveau régime des mesures correctrices, issu du RGPD. Les sanctions pécuniaires font désormais l’objet d’un plafond fixé à 4 % du chiffre d’affaires annuel mondial de l’entreprise lorsque les obligations méconnues sont relatives à l’information des personnes concernées et à leur consentement.
Le RGPD recommande aux autorités de contrôle de déterminer le montant des amendes de sorte qu’elles soient « effectives, proportionnées et dissuasives » (art. 83, 1). Sur la base de cette disposition, la Cnil estime que les circonstances de l’affaire justifient une sanction « exemplaire ». Militent en ce sens la gravité des manquements constatés, qui s’analysent comme une violation des principes fondamentaux de la protection des données personnelles. Mais aussi d’autres éléments : le nombre important de personnes utilisatrices d’appareils mobiles configurés sous Android, l’ampleur des traitements en cause et la nécessité d’une responsabilité renforcée des opérateurs quand il s’agit de ciblage publicitaire.
Pour en savoir plus sur cette question : voir Mémento Concurrence consommation n° 17587