Actions sur le document
Première sanction exemplaire sur le fondement du RGPD : Google condamnée à 50 millions d’euros d’amende par la CNIL
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, Marion Moine, 13/02/2019
La CNIL a enfin ouvert les hostilités à l’encontre des géants de l’internet, en commençant par Google. Pour la première fois, la commission a fait application contre cette dernière, des plafonds de sanction prévus par le RGPD. Considérant que les manquements constatés portent atteinte aux obligations essentielles de la réglementation informatique et libertés, elle a prononcé une sanction pécuniaire s’élevant à 50 millions d’euros (pour consulter la décision cliquez ici).
I. CONTEXTE DE LA DECISION
Une procédure introduite par deux plaintes collectives. Les associations « None of Your Business » (« NOYB ») et « La Quadrature du Net » (« LQN ») ont saisi la Commission Nationale Informatique et Libertés (« CNIL ») de deux plaintes collectives en date des 25 et 28 mai 2018, contre la société Google LLC (ci-après « Google » ou la « Société »). Ces deux plaintes rassemblent à elles deux, pas moins de 9974 personnes. Pour mémoire, depuis la loi n°2017-55 du 20 janvier 2017, il existe un mécanisme d’action de groupe, lequel permet, à toute association satisfaisant à certaines conditions, d’exercer une action tendant à la « cessation » d’un manquement, pour le compte d’un collectif de victimes (1) . Le mécanisme de l’action de groupe a été repris par le RGPD, qui étend son application aux actions indemnitaires, sous la forme d’une marge de manœuvre que la France a choisi de transposer avec la loi n°2018-493 du 20 juin 2018 (entrée en vigueur rétroactivement le 25 mai 2018).
Le système d’exploitation « Google », développé pour les terminaux mobiles Android, pointé du doigt.
Alors que la première plainte (NOYB) dénonce l’obligation « d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google » (2) , sans quoi les utilisateurs des terminaux mobiles Android ne peuvent utiliser leurs terminaux mobiles, la seconde plainte (LQN), dénonce quant à elle, le défaut « de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire » (3) .
Le système d’exploitation « Google », développé pour les terminaux mobiles Android, pointé du doigt.
Alors que la première plainte (NOYB) dénonce l’obligation « d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google » (2) , sans quoi les utilisateurs des terminaux mobiles Android ne peuvent utiliser leurs terminaux mobiles, la seconde plainte (LQN), dénonce quant à elle, le défaut « de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire » (3) .
II. LA CNIL COMPETENTE POUR SANCTIONNER GOOGLE
La compétence de la CNIL contestée par Google. Afin de combattre la compétence de la CNIL, Google indiquait que sa filiale, la société Google Irlande Limited, « constitue son établissement principal au sein de l’union», et qu’eu égard à « la nature transfrontalière de la publicité, (et) du nombre significatif d’utilisateurs (…) en Europe (…), les mécanismes de coopération et de cohérence » (4) étaient applicables, et justifient ainsi de la compétence de l’autorité de contrôle irlandaise. Il résulte en effet, du mécanisme du « guichet unique » instauré par le RGPD, qu’un organisme établi dans l’Union européenne doit avoir pour seul interlocuteur l’autorité du pays où est situé son « établissement principal» (5) .
La qualification d’établissement principal : une appréciation in concreto (6) . Google, afin de démontrer que sa filiale irlandaise est bien celle qui devait être poursuivie, indique, d’une part, que cette société est l’établissement de référence pour ses « opérations européennes depuis 2003 » et, d’autre part, qu’elle est en charge de plusieurs fonctions organisationnelles nécessaires à ses activités sur le territoire de l’Union (7) . Cependant, la CNIL, en se fondant notamment sur le considérant 36 du RGPD - qui précise que la notion d’établissement principal suppose «l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens de traitement dans le cadre d’un dispositif stable» - a considéré que la filiale irlandaise ne pouvait être considérée comme telle, « dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements couverts par la politique de confidentialité » (8).
Les procédures de coopération et de cohérence écartées au profit de la compétence exclusive de la CNIL. Le défaut d’identification d’un établissement principal au sein de l’Union européenne et, en conséquence, l’absence d’« autorité chef de file », implique que le mécanisme du « guichet unique » soit écarté. En conséquence, la CNIL conservait toute latitude pour poursuivre Google pour les manquements qu’elle aura constaté sur son territoire (9). Elle ne s’en est pas privée.
La qualification d’établissement principal : une appréciation in concreto (6) . Google, afin de démontrer que sa filiale irlandaise est bien celle qui devait être poursuivie, indique, d’une part, que cette société est l’établissement de référence pour ses « opérations européennes depuis 2003 » et, d’autre part, qu’elle est en charge de plusieurs fonctions organisationnelles nécessaires à ses activités sur le territoire de l’Union (7) . Cependant, la CNIL, en se fondant notamment sur le considérant 36 du RGPD - qui précise que la notion d’établissement principal suppose «l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens de traitement dans le cadre d’un dispositif stable» - a considéré que la filiale irlandaise ne pouvait être considérée comme telle, « dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements couverts par la politique de confidentialité » (8).
Les procédures de coopération et de cohérence écartées au profit de la compétence exclusive de la CNIL. Le défaut d’identification d’un établissement principal au sein de l’Union européenne et, en conséquence, l’absence d’« autorité chef de file », implique que le mécanisme du « guichet unique » soit écarté. En conséquence, la CNIL conservait toute latitude pour poursuivre Google pour les manquements qu’elle aura constaté sur son territoire (9). Elle ne s’en est pas privée.
III. DES ARGUMENTS PROCEDURAUX CONTRECARRÉS
La validité et l’équité de la procédure contestées. Google afin de contester la validité de la procédure, a tout d’abord (i) soutenu que la recevabilité des plaintes déposées par NOYB et LQN n’était pas établie, et ensuite, (ii) que son droit à un procès équitable (10) avait été méconnu. Sur ce dernier point, elle estime que l’ensemble de la procédure a été effectué en langue française (et non traduite en anglais), et que les délais qui lui ont été impartis pour répondre aux conclusions du rapporteur étaient insuffisants. Sur l’argument (i), la réplique de la CNIL est sévère : la recevabilité des plaintes est sans influence sur la légalité des procédures. Elle considère que la saisine de la CNIL peut certes, résulter d’une plainte, mais elle peut également résulter d’une auto-saisine, rendant vain l’argument de Google. Sur l’argument (ii), la CNIL rappelle avoir respecté les articles 111-1 du Code des relations entre le public et l’administration qui prescrit la langue française dans les échanges entre le public et l’administration, et 75 du décret n°2005-1309 du 20 octobre 2005 qui fixe un premier délai d’un mois au responsable de traitement pour formuler ses réponses aux conclusions du rapporteur, puis un second de quinze jours pour répondre, le cas échéant, aux observations de ce dernier.
Le périmètre des investigations dénoncé par Google. Toujours dans l’optique d’atténuer sa part de responsabilité dans les manquements qui lui sont reprochés, la Société soutient que les traitements opérés dans le cadre de son système d’exploitation sont distincts de ceux réalisés dans le cadre des comptes « Google ». Aussi, elle précise que le périmètre de contrôle choisi par la CNIL– à savoir la création d’un compte lors de la configuration d’un nouveau terminal mobile Android – représente seulement 7 % de ses utilisateurs. Google indique enfin que les constatations ont été effectuées sur une ancienne version du système d’exploitation Android. La CNIL, après avoir rappelé le parcours utilisateur choisi pour son contrôle en ligne (configuration initiale du terminal mobile Android), considère qu’il y a un « continuum d’usage » entre les traitements opérés par le système d’exploitation, et ceux réalisés aux travers du compte « Google », justifiant, de ce fait, le scenario retenu, lequel peut en outre « permettre d’opérer des constatations traduisant une politique de confidentialité plus globale » (11), ce qui rend indifférent le fait que le parcours utilisateur choisi représente seulement 7 % de ses utilisateurs. Enfin, en ce qui concerne les versions du système d’exploitation, celles-ci sont selon la CNIL, sans incidence, puisque le parcours utilisateur demeure « similaire » dans la version la plus récente.
Le périmètre des investigations dénoncé par Google. Toujours dans l’optique d’atténuer sa part de responsabilité dans les manquements qui lui sont reprochés, la Société soutient que les traitements opérés dans le cadre de son système d’exploitation sont distincts de ceux réalisés dans le cadre des comptes « Google ». Aussi, elle précise que le périmètre de contrôle choisi par la CNIL– à savoir la création d’un compte lors de la configuration d’un nouveau terminal mobile Android – représente seulement 7 % de ses utilisateurs. Google indique enfin que les constatations ont été effectuées sur une ancienne version du système d’exploitation Android. La CNIL, après avoir rappelé le parcours utilisateur choisi pour son contrôle en ligne (configuration initiale du terminal mobile Android), considère qu’il y a un « continuum d’usage » entre les traitements opérés par le système d’exploitation, et ceux réalisés aux travers du compte « Google », justifiant, de ce fait, le scenario retenu, lequel peut en outre « permettre d’opérer des constatations traduisant une politique de confidentialité plus globale » (11), ce qui rend indifférent le fait que le parcours utilisateur choisi représente seulement 7 % de ses utilisateurs. Enfin, en ce qui concerne les versions du système d’exploitation, celles-ci sont selon la CNIL, sans incidence, puisque le parcours utilisateur demeure « similaire » dans la version la plus récente.
IV. LES MANQUEMENTS CONSTATES
I. LES MANQUEMENTS A L’OBLIGATION D’INFORMATION
La fragmentation de l’information, cause de tous les maux…La CNIL, tout en rappelant l’exigence d’accessibilité des mesures d’information des personnes concernées par un traitement (12) , constate que « l’architecture générale de l’information choisie (…) ne permet pas » (13) à Google de respecter l’exigence d’accessibilité. Il résulte effectivement du contrôle en ligne effectué, que les informations sont éparpillées dans plusieurs documents, lesquels contiennent des boutons et liens qu’il « est nécessaire d’activer pour prendre connaissance d’information complémentaire » (14) ; cela implique « une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents ». Ainsi, à titre illustratif, « cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces, et six en ce qui concerne la géolocalisation » .
(15)
Des informations qui ne sont pas suffisamment « claires » et « compréhensibles ». Ce manquement a été apprécié au regard des caractères massif et intrusif pour la vie privée des utilisateurs, qui singularisent la collecte de données et les traitements effectués par Google. La formation restreinte relève que les informations fournies ne permettent pas aux utilisateurs (a) « de comprendre suffisamment les conséquences particulières à leur égard » (16), ni (b) de « (…) mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée » (17) . Elle a notamment constaté que les finalités sont formulées dans des termes trop vagues (par exemple, « améliorer les services proposés à tous nos utilisateurs » ), ou encore que les traitements fondés sur le consentement ne sont pas clairement identifiés.
Le défaut de transparence des informations. La CNIL relève enfin, que les outils d’information mis en place par Google (« Check-up confidentialité » et « Dashboard ») sont inopérants pour garantir une information suffisante des utilisateurs, conforme à l’article 13 du RGPD (information en cas de collecte directe), car ils supposent une démarche active et d’initiative de ceux-ci.
II. LE DEFAUT DE BASE LEGALE POUR LES TRAITEMENTS DITS DE « PUBLICITES CIBLES »
L’absence de consentement spécifique et univoque aux traitements de personnalisation des publicités. Il résulte de l’analyse du parcours utilisateur, que le consentement des utilisateurs aux traitements de leurs données à des fins de personnalisation des publicités n’est pas valablement recueilli. La CNIL a effectivement relevé dans ce cadre, que le consentement des utilisateurs n’est ni spécifique, ni univoque, puisque celui-ci résulte de cases pré-cochées – préférences qui ne peuvent être modifiées qu’en cliquant sur un lien intitulé « Plus d’options » –, lesquelles ne permettent par ailleurs, pas de distinguer selon les traitements effectués par Google (acceptation « en bloc »).
III. UNE SANCTION PECUNIAIRE SANS EGALE JUSQU’ALORS
L’application première des plafonds de responsabilité issus par le RGPD. Le défaut de base légale, ainsi que les manquements aux obligations de transparence et d’information font partie des fautes les plus sévèrement sanctionnées par le RGPD : les sanctions pécuniaires encourues s’élèvent à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (18) . La CNIL a ainsi, pour la première fois appliqué ce texte à l’encontre de Google, la condamnant à une amende administrative de 50 millions d’euros.
Une sanction justifiée, mais qui reste timide. En effet, dès l’introduction de sa décision, la CNIL rappelle le chiffre d’affaires mondial de la Société en 2017, qui s’élève à 96 milliards d’euros. La formation restreinte pouvait en conséquence, prononcer une sanction pécuniaire allant jusqu’à 3,84 milliards d’euros. Bien que ne s’étant pas contentée de prononcer la peine minimale, la CNIL est restée bien timide pour cette première sanction sous l’égide du texte européen.
La fragmentation de l’information, cause de tous les maux…La CNIL, tout en rappelant l’exigence d’accessibilité des mesures d’information des personnes concernées par un traitement (12) , constate que « l’architecture générale de l’information choisie (…) ne permet pas » (13) à Google de respecter l’exigence d’accessibilité. Il résulte effectivement du contrôle en ligne effectué, que les informations sont éparpillées dans plusieurs documents, lesquels contiennent des boutons et liens qu’il « est nécessaire d’activer pour prendre connaissance d’information complémentaire » (14) ; cela implique « une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents ». Ainsi, à titre illustratif, « cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces, et six en ce qui concerne la géolocalisation » .
(15)
Des informations qui ne sont pas suffisamment « claires » et « compréhensibles ». Ce manquement a été apprécié au regard des caractères massif et intrusif pour la vie privée des utilisateurs, qui singularisent la collecte de données et les traitements effectués par Google. La formation restreinte relève que les informations fournies ne permettent pas aux utilisateurs (a) « de comprendre suffisamment les conséquences particulières à leur égard » (16), ni (b) de « (…) mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée » (17) . Elle a notamment constaté que les finalités sont formulées dans des termes trop vagues (par exemple, « améliorer les services proposés à tous nos utilisateurs » ), ou encore que les traitements fondés sur le consentement ne sont pas clairement identifiés.
Le défaut de transparence des informations. La CNIL relève enfin, que les outils d’information mis en place par Google (« Check-up confidentialité » et « Dashboard ») sont inopérants pour garantir une information suffisante des utilisateurs, conforme à l’article 13 du RGPD (information en cas de collecte directe), car ils supposent une démarche active et d’initiative de ceux-ci.
II. LE DEFAUT DE BASE LEGALE POUR LES TRAITEMENTS DITS DE « PUBLICITES CIBLES »
L’absence de consentement spécifique et univoque aux traitements de personnalisation des publicités. Il résulte de l’analyse du parcours utilisateur, que le consentement des utilisateurs aux traitements de leurs données à des fins de personnalisation des publicités n’est pas valablement recueilli. La CNIL a effectivement relevé dans ce cadre, que le consentement des utilisateurs n’est ni spécifique, ni univoque, puisque celui-ci résulte de cases pré-cochées – préférences qui ne peuvent être modifiées qu’en cliquant sur un lien intitulé « Plus d’options » –, lesquelles ne permettent par ailleurs, pas de distinguer selon les traitements effectués par Google (acceptation « en bloc »).
III. UNE SANCTION PECUNIAIRE SANS EGALE JUSQU’ALORS
L’application première des plafonds de responsabilité issus par le RGPD. Le défaut de base légale, ainsi que les manquements aux obligations de transparence et d’information font partie des fautes les plus sévèrement sanctionnées par le RGPD : les sanctions pécuniaires encourues s’élèvent à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial (18) . La CNIL a ainsi, pour la première fois appliqué ce texte à l’encontre de Google, la condamnant à une amende administrative de 50 millions d’euros.
Une sanction justifiée, mais qui reste timide. En effet, dès l’introduction de sa décision, la CNIL rappelle le chiffre d’affaires mondial de la Société en 2017, qui s’élève à 96 milliards d’euros. La formation restreinte pouvait en conséquence, prononcer une sanction pécuniaire allant jusqu’à 3,84 milliards d’euros. Bien que ne s’étant pas contentée de prononcer la peine minimale, la CNIL est restée bien timide pour cette première sanction sous l’égide du texte européen.
(1) Article 43 Ter de la loi informatique et libertés n°78-17, abrogé par l’ordonnance n° 2018-1125 du 12 décembre 2018 (art.1) dès son entrée en application.
(2) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°6.
(3) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°7.
(4) Articles 60,64 et 65 du RGPD
(5) Article 56 du RGPD.
(6) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°31.
(7) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°24.
(8) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°40.
(9) Article 57.1.a) du RGPD : « (…) chaque autorité de contrôle, sur son territoire (…) contrôle l’application du [RGPD] et veille au respect de celui-ci ».
(10) Article 6 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales.
(11) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°82.
(12) Article 12 du RGPD.
(13) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°97.
(14) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°97.
(15) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°101.
(16) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°111.
(17) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°113.
(18) Article 83.5. du RGPD.
(2) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°6.
(3) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°7.
(4) Articles 60,64 et 65 du RGPD
(5) Article 56 du RGPD.
(6) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°31.
(7) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°24.
(8) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°40.
(9) Article 57.1.a) du RGPD : « (…) chaque autorité de contrôle, sur son territoire (…) contrôle l’application du [RGPD] et veille au respect de celui-ci ».
(10) Article 6 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales.
(11) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°82.
(12) Article 12 du RGPD.
(13) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°97.
(14) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°97.
(15) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°101.
(16) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°111.
(17) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019, prononçant une sanction pécuniaire alors contre de la société GOOGLE LLC. – V. point n°113.
(18) Article 83.5. du RGPD.