Données personnelles : une première amende pour Google
Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du règlement nᵒ2016/679, dit règlement général sur la protection des données (RGPD), pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
Il s’agit de l’amende la plus importante prononcée en application du RGPD, le texte de référence en matière de protection des données applicable depuis le 25 mai 2018[1].
Les 25 et 28 mai 2018, la CNIL a reçu des plaintes collectives des associations None Of Your Business (« NOYB ») et La Quadrature du Net (« LQDN ») sur le fondement du RGPD.
Dans ces deux plaintes, les associations reprochaient à GOOGLE de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.
Sur la base d’un contrôle en ligne dont le but était d’analyser le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android, la CNIL a constaté deux séries de manquements au RGPD et prononcé une sanction de 50 millions d’euros à l’encontre de GOOGLE. [2]
Si la somme semble dérisoire comparée au chiffre d’affaires annuel mondial de GOOGLE, la décision de la CNIL qui concerne uniquement Android et sa procédure d’activation marque une étape importante dans l’application du RGPD.
Pour motiver le montant retenu, ainsi que la publicité de l’amende, la CNIL a souligné :
- la gravité des manquements constatés, qui concernent des principes essentiels du RGPD tels que la transparence, l’information et le consentement ;
- le fait qu’il s’agisse de violations continues du RGPD, et non d’un manquement ponctuel, délimité dans le temps ;
- la place prépondérante qu’occupe le système d’exploitation Android sur le marché français, ainsi que le modèle économique de GOOGLE qui repose en partie sur la personnalisation de la publicité.
Manquement aux obligations de transparence et d’information
Selon la CNIL, les informations fournies par GOOGLE ne sont pas aisément accessibles pour les utilisateurs.
La CNIL met d’abord en cause l’architecture générale de l’information choisie par la société.
Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.
La CNIL met ensuite en cause la clarté et la compréhension des informations délivrées.
Elle considère que les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par GOOGLE, lesquels sont jugés particulièrement massifs et intrusifs en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées.
En particulier, les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.
De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE.
Enfin, la durée de conservation de certaines données n’est pas indiquée.
Absence de base légale pour les traitements de personnalisation de la publicité
GOOGLE invoquait s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. La CNIL a considéré que ce consentement n’était pas valablement recueilli, invalidant ainsi la base juridique des traitements.
Ce faisant, la CNIL nous livre de précieux renseignements sur les conséquences du recours au consentement comme base juridique d’un traitement et illustre les enjeux juridiques liés au choix de cette base (parmi 6 offertes par l’article 6 du RGPD) puisque sa méconnaissance constitue une circonstance aggravante des sanctions encourues.
D’une part, le consentement des utilisateurs ne serait pas suffisamment éclairé. Selon la CNIL, l’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.
Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, et applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées.
D’autre part, le consentement ainsi recueilli ne serait ni « spécifique » ni « univoque ».
Selon le RGPD, le consentement n’est « univoque » qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple).
Or, la possibilité, offerte à l’utilisateur lors de la création d’un compte, de modifier certains des paramètres (notamment les modalités d’affichage des annonces personnalisées) associés au compte est jugée insuffisante car i) l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, et ii) l’affichage d’annonces personnalisées est pré-coché par défaut.
Selon le RGPD, le consentement n’est « spécifique » qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.
Or, avant même de créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte.
Un tel procédé, selon la CNIL, conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par GOOGLE (personnalisation de la publicité, reconnaissance vocale, etc.).
[1] Cf. articles intitulés Nouveau règlement européen sur la protection des données (Partie I) et Nouveau règlement européen sur la protection des données (Partie II)
[2] La plainte de LQDN portait également sur Youtube, Gmail et Googlesearch, mais le périmètre du contrôle de la CNIL s’est limité « aux traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte à l’occasion de la configuration de son téléphone mobile sous Android ».