À la suite de plaintes déposées par les associations La Quadrature du Net et None of your business en mai 2018 sur le parcours d’un utilisateur lors de la création d’un compte Google à partir d’un téléphone fonctionnant avec le système d’exploitation Android, la CNIL avait prononcé le 21 janvier 2019 une sanction de 50 million €. Saisi d’un recours dirigé contre cette sanction, le Conseil d’État vient de confirmer que Google n’a pas délivré une information claire et transparente aux utilisateurs du système d’exploitation Android leur permettant de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires.
Obligations d’information et de transparence
“L’arborescence choisie par Google apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées. Il s’ensuit que c’est à bon droit que la formation restreinte de la CNIL, qui n’a pas, contrairement à ce qui est soutenu, exigé qu’une information exhaustive soit livrée dès le premier niveau d’information, a caractérisé une violation des obligations d’information et de transparence définies par les articles 12 et 13 du RGPD”
Les responsables de traitement sont tenus de fournir des informations de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, pour permettre à l’utilisateur de donner un consentement libre et éclairé au traitement de ses données.
Le Conseil d’État confirme l’appréciation portée par la CNIL qui avait considéré que:
- l’organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité alors même que les traitements en cause sont massifs et particulièrement intrusifs par leur nombre et la nature des données collectées à partir de nombreux services (Gmail, Google Maps, YouTube). Les informations sur les finalités, les durées de conservation ou les catégories de données sont éparpillées sur plusieurs pages, l’utilisateur devant accomplir multiples actions pour y accéder;
- les informations sont rédigées de façon imprécises ne permettant pas aux utilisateurs de comprendre l’ampleur du traitement effectué par Google.
Sanction proportionnée
“Eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par l’article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50 000 000 d’euros prononcée à l’encontre de la société Google ne revêt pas un caractère disproportionné”
“Les violations des dispositions suivantes font (…) d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent :
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9;
b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22
c) les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale en vertu des articles 44 à 49;
d) toutes les obligations découlant du droit des États membres adoptées en vertu du chapitre IX;
e) le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou le fait de ne pas accorder l’accès prévu, en violation de l’article 58, paragraphe 1 (art.83 RGPD)”
Compte tenu de la gravité des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de Google, le Conseil d’État juge que la sanction de 50 millions d’euros prononcée par la CNIL n’est pas disproportionnée.
On se demande bien comment Google a pu contester le caractère proportionné du montant de l’amende prononcée par la CNIL qui est loin de représenter 4% de son CA mondial estimé en 2018 à 136,22 milliards de dollars américains. Google aurait pu en théorie être condamné à 5 milliards €, soit 100 fois plus que l’amende prononcée par la CNIL qui ne représente en réalité que 0,04% de son CA mondial.
On rappellera par ailleurs que l’étude réalisée par l’ex-secrétaire d’Etat en charge du numérique Mounir Mahjoubi avait estimé à 2,7 milliards € le CA France de Google qui ne déclare au fisc que 411 millions d’euros. Google n’a donc été condamné par la CNIL qu’à 2% de son CA en France.
La question n’est donc pas de savoir si le montant de l’amende administrative est proportionnée mais de savoir si elle est dissuasive.
Reste aux utilisateurs d’agir par le biais de class action dont les montants cumulés pourraient enfin dissuader certains GAFAM d’agir en violation de leurs droits …