1. La Cnil avait été saisie de plaintes dirigées contre la société de droit américain Google LLC et mettant en cause les conditions dans lesquelles les utilisateurs d’appareils mobiles, qui configurent leur appareil sous le système d’exploitation « Android », doivent à cette occasion créer un compte Google.
Relevant plusieurs manquements aux dispositions du RGPD, la formation restreinte de la Cnil a infligé à l’opérateur une forte sanction (Délib. Cnil n° SAN-2019-001 du 21-1-2019 : BRDA 5/19 inf. 22). Google a contesté cette délibération auprès du Conseil d’Etat, mais aucun des arguments soulevés à l’appui de ce recours n’a abouti.
Le dispositif en litige
2. Pour apprécier la valeur des manquements retenus par la Cnil, le Conseil d’Etat rappelle de manière détaillée le parcours que doit suivre l’utilisateur d’un smartphone quand il envisage de paramétrer son appareil à l’aide d’Android.
3. L’intéressé voit d’abord s’afficher une page intitulée « Règles de confidentialité et conditions d’utilisation ».
Cette page, qui constitue un premier niveau d’information, indique : « Pour créer un compte Google, vous devez accepter les Conditions d’utilisation ci-dessous. De plus, lorsque vous créez un compte, nous traitons vos informations comme décrit dans nos règles de confidentialité ». Un lien hypertexte permet d’accéder à ces règles. Viennent, ensuite, sur la même page, plusieurs paragraphes d’information, dont l’un, dénommé « Pourquoi nous traitons vos données », présente les différentes finalités du traitement. La page se termine par deux cases à cocher : « J’accepte les conditions d’utilisation de Google » et « J’accepte que mes informations soient utilisées tel que décrit ci-dessus et détaillé dans les règles de confidentialité ». L’utilisateur a le choix entre « Ne pas créer un compte » ou « Créer un compte ».
4. Avant d’effectuer ce choix, il peut cliquer sur un lien déroulant (« Plus d’options ») afin de paramétrer le compte et d’activer, ou de désactiver, certaines fonctionnalités, telles que les annonces publicitaires personnalisées. Une case cochée par défaut mentionne que l’intéressé consent à l’affichage de ces annonces.
Quand l’utilisateur, sans avoir auparavant cliqué sur « Plus d’options », opte pour « Créer un compte », une fenêtre « pop-up » (« Simple confirmation ») lui rappelle que son compte est configuré et inclut des « fonctionnalités de personnalisation (telles que les recommandations et les annonces personnalisées) ». Il peut alors aller sur « Plus d’options » ou encore sur « Confirmer » et, dans la seconde hypothèse, valider définitivement son compte.
Les manquements à l’obligation d’informer la personne concernée
5. A la suite de la Cnil, le Conseil d’Etat fait application des articles 12 et 13 du RGPD.
L’article 12 exige que le responsable d’un traitement de données transmette aux personnes concernées par ce traitement diverses informations « d’une façon concise, transparente, compréhensible et aisément accessible ». Quant à l’article 13, il fixe la liste des informations que le responsable d’un traitement doit fournir à une personne si les données en cause ont été directement collectées auprès d’elle.
L’arrêt en déduit que l’information fournie aux intéressés doit les mettre à même de déterminer à l’avance la portée et les conséquences du traitement sur l’utilisation de leurs données personnelles.
6. Au regard de ces règles, il n’est pas reproché à Google d’avoir retenu plusieurs niveaux d’information. En effet, cette architecture est conforme aux lignes directrices sur la transparence, adoptées le 29 novembre 2017 et révisées le 11 avril 2018 (wp260 rev. 01) par le « G 29 » (devenu le Comité européen de protection des données, CEPD). Celui-ci recommande aux responsables de traitement que les informations adressées aux personnes concernées ne soient pas affichées sur une seule page afin de ne pas « noyer » les intéressés, mais qu’elles soient structurées en différents niveaux (trois au maximum, ce qui correspond à deux clics depuis la page d’entrée).
En revanche, comme l’avait fait la Cnil, le Conseil d’Etat souligne de nombreux éléments incompatibles avec le principe de transparence : le caractère excessivement général du premier niveau d’information ; les difficultés d’accès à des informations essentielles, cinq ou six clics étant parfois nécessaires ; le manque de précision des informations relatives à la durée de conservation des données.
Les manquements à l’obligation de recueillir le consentement de la personne concernée
7. Le RGPD subordonne la validité d’un traitement de données personnelles à la condition que la personne concernée ait consenti au traitement de ces données (art. 6). En outre, il définit le consentement comme étant « toute manifestation de volonté libre, spécifique, éclairée et univoque » ; l’acceptation de l’intéressé doit faire l’objet d’une « déclaration » ou d’un « acte positif clair » (art. 4, 11). Enfin, le principe du consentement est entouré de diverses garanties (art. 7).
Le Conseil d’Etat interprète ces dispositions en se référant à l’arrêt « Planet 49 », rendu par la Cour de Luxembourg au sujet de la pratique des cookies (CJUE 1-10-2019 aff. 673/17 : BRDA 21/19 inf. 17). Il rappelle qu’un consentement libre, spécifique, éclairé et univoque doit être exprès, fourni en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait des données personnelles de l’intéressé. Un consentement au moyen d’une case cochée par défaut ne procède pas d’un « acte positif clair », tandis qu’un consentement recueilli dans le cadre de l’acceptation globale de conditions générales d’utilisation d’un service ne saurait être qualifié de « spécifique ».
8. L’arrêt relève que ces règles ont été méconnues au cas présent. S’agissant de la personnalisation des annonces publicitaires, l’information reçue par l’utilisateur, lorsqu’il lit la première page affichée, puis la fenêtre « Simple confirmation », se trouve diluée au milieu d’autres finalités du traitement. Si une information complémentaire relative à la finalité du ciblage publicitaire est fournie au deuxième niveau (en cliquant sur « Plus d’options ») et qu’un consentement propre à cette finalité est alors recueilli, cette information est elle-même insuffisante. Quant à la pratique de la case précochée, elle est évidemment dénoncée dans la ligne de la jurisprudence européenne.
Pour en savoir plus sur cette question : voir Mémento Concurrence consommation n° 17160
Suivez les dernières actualités et assurez la reprise de l’activité pour vos clients ou votre entreprise en télétravail avec Navis :
Vous êtes abonné ? Accédez à Navis à distance depuis votre domicile
Pas encore abonné ? Nous vous offrons un accès au fonds documentaire NAVIS pendant 10 jours.
* Si vous rencontrez le moindre problème de connexion à votre Navis, contactez notre Service Relations Clients au 01 41 05 22 22 ou notre Hotline Technique au 01 41 05 77 00, du lundi au vendredi, de 9h à 18h.