22 janvier 2019
Le 21 janvier 2019 marquera l’histoire française et européenne des données à caractère personnel pour plusieurs raisons :
- Ce jour là, la CNIL a prononcé la première sanction fondée sur le RGPD à l’encontre de Google pour illicéité des traitements de données à caractère personnel effectués par le géant américain (Délibération de la CNIL n° SAN-2019-001 du 21 janvier 2019) ;
- L’amende s’élève à 50 millions d’euros, record en matière de sanctions prononcées par les autorités de contrôle ;
- Google est la première entreprise américaine condamnée sur le fondement du RGPD.
Le RGPD (Règlement n° 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) est entré en vigueur le 25 mai 2018. Ses objectifs étaient d’harmoniser la réglementation européenne relative aux données à caractère personnel et de renforcer les droits des personnes physiques sur les traitements de leurs données.
Quelques heures après l’entrée en vigueur du RGPD, la CNIL a été saisie de deux plaintes déposées par l’ONG None Of Your Business et l’association française de défense des internautes La Quadrature du Net à l’encontre de GOOGLE LLC. La première reprochait à GOOGLE LLC un manquement à ses obligations de transparence et d’information à l’égard des utilisateurs du système d’exploitation Android. La seconde pointait du doigt le fait que GOOGLE LLC effectue des traitements de données, indépendamment du terminal utilisé, à des fins d’analyse comportementale et de ciblage publicitaire sans justifier de base juridique valable.
En vertu de l’article 12 du RGPD, les personnes concernées doivent disposer d’informations concises, transparentes, compréhensibles et aisément accessibles qui leur permettent d’appréhender la portée du traitement qui est effectué sur leurs données et de ses conséquences. La liste des informations qu’un responsable de traitement doit communiquer figure aux articles 13 ou 14 du RGPD.
Or, la CNIL a relevé que les informations en l’espèce étaient disséminées dans de nombreux documents qui comportaient eux-mêmes des « boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ». Elles n’étaient donc pas « accessibles » au sens du RGPD.
Par ailleurs, la CNIL a constaté qu’un grand nombre d’informations sont traitées par différents moyens. Or, les informations communiquées par GOOGLE LLC ne permettaient pas aux utilisateurs d’appréhender l’importance des traitements qui sont effectués sur ces données. Par conséquent, la CNIL a jugé que les informations n’ont pas été communiquées de manière claire et compréhensible au sens du RGPD.
La CNIL s’est ensuite prononcé sur le manquement qui était reproché à GOOGLE LLC de disposer d’une base légale valable pour effectuer les traitements de données à des fins de personnalisation de la publicité. Au titre des bases légales d’un traitement (listées à l’article 6 du RGPD) figure le consentement, qui doit être libre, spécifique, éclairé et univoque pour être valable (articles 4 et 7 du RGPD).
En l’espèce, la CNIL a considéré que le consentement n’était pas éclairé dès lors que les informations concernant le traitement ne sont pas concises, transparentes, compréhensibles et aisément accessibles. En effet, la personne n’est pas en mesure, au moment où elle consent au traitement, d’appréhender l’ampleur de l’intrusion de GOOGLE LLC dans sa vie privée.
En outre, la CNIL a jugé que le consentement des personnes n’est pas spécifique dès lors qu’un seul bouton permettait de recueillir le consentement pour toutes les finalités et que les boutons de personnalisation du consentement en fonction de chacune des finalités étaient masqués et cochés par défaut. Par conséquent, la CNIL a jugé que le consentement des personnes au traitement de leurs données à des fins de personnalisation de la publicité n’était pas recueilli par GOOGLE LLC conformément au RGPD, de telle sorte qu’il ne pouvait constituer une base juridique valable au traitement mis en cause.
Forte de ces constations, la CNIL a prononcé une amende record de 50 millions d’euros à l’encontre du géant américain. Cette condamnation est, depuis l’entrée en vigueur du RGPD, la première visant une société américaine et la plus élevée. Les précédentes prononcées respectivement par les autorités portugaise et allemande s’élevaient à 400 000 et 20 000 euros.
D’autres sanctions seront fort probablement prononcées dans les mois à venir. En effet, des plaintes ont d’ores et déjà été déposée à l’encontre d’Apple, Facebook, Amazon et LinkedIn.