Ce 21 janvier 2019, l’une des premières décisions suite à l’entrée en vigueur du Règlement européen sur la protection des données personnes (RGPD ou GDPR) est tombée. Et pas des moindres. Elle concerne le géant américain Google. Ce dernier est condamné à une amende de 50 millions d’euros par la CNIL, l’organe français qui contrôle la bonne application du règlement.

Les faits

Les 25 et 28 mai 2018, la Commission nationale de l’informatique et des libertés (CNIL) a été saisie de deux plaintes collectives déposées respectivement par l’association None Of Your Business (NOYB) et l’association La Quadrature du Net (LQDN). De manière cumulée, ces plaintes regroupent les réclamations de 9974 personnes.

Dans sa plainte, l’association NOYB indique notamment que les utilisateurs de terminaux mobiles Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google et qu’à défaut d’une telle acceptation, ils ne pourraient utiliser leur terminal.

L’association LQDN estime quant à elle, qu’indépendamment du terminal utilisé, Google ne dispose pas de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire.

Fin septembre 2018, la CNIL a effectué un contrôle en ligne afin de vérifier la conformité de tout traitement relatif à l’utilisation du système d’exploitation Android pour équipement mobile.

Le principal reproche fait à Google est celui du manquement aux obligations de transparence et d’information.

En effet, la CNIL estime que les informations délivrées aux utilisateurs par la société américaine ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension fixés par l’article 12 du RGPD et que certaines informations rendues obligatoires par l’article 13 du même règlement ne sont pas fournies aux utilisateurs.

En défense, Google considère que l’information qu’elle diffuse à ses utilisateurs répond aux exigences des articles 12 et 13 du RGPD. Elle estime tout d’abord que le document intitulé « Règles de confidentialité et conditions d’utilisation », accessible lors de la création d’un compte, constitue une information de premier niveau conforme au RGPD. Elle précise que ce document offre une bonne vue d’ensemble des traitements mis en œuvre et que la mention de la base juridique de ces traitements n’a pas à figurer dans ce premier niveau d’information.

La société fait ensuite valoir que l’information des personnes doit, au regard des articles 12 et 13 du Règlement, s’apprécier de façon globale. Elle expose à ce titre que l’information qu’elle délivre s’opère également, par le biais de plusieurs autres modalités. Elle explique que des messages d’informations additionnelles peuvent apparaitre lors de la création d’un compte sous chacun des paramètres de confidentialité. Par ailleurs un message électronique est adressé à l’utilisateur au moment de la création de son compte indiquant notamment que : « Vous pouvez à tout moment modifier les paramètres de confidentialité et de sécurité de votre compte Google, créer des rappels pour vous souvenir de vérifier vos paramètres de confidentialité ou procéder à une vérification de vos paramètres de sécurité ». Ce message électronique contient des liens cliquables renvoyant à différents outils de paramétrage.

Ces autres outils de contrôle, qui sont mis à la disposition de l’utilisateur postérieurement à la création de son compte à partir de l’interface de gestion de son compte comportent par exemple un outil intitulé check-up confidentialité qui permet aux utilisateurs de choisir les réglages de confidentialité qui leur conviennent, y compris en matière d’annonces personnalisées, d’historique des positions, d’activité sur le Web et d’applications.

La société met aussi en avant un outil Dashboard qui permet aux utilisateurs d’avoir une vision d’ensemble de l’utilisation qu’ils font des services proposés par Google tels que Gmail ou Youtube.

Enfin, Google rappelle que lorsqu’un utilisateur a cliqué sur « Créer un compte » sans avoir désactivé les paramètres relatifs aux annonces personnalisées, une fenêtre pop-up de confirmation de création de compte s’affiche pour rappeler que le compte est configuré pour inclure des fonctionnalités de personnalisation. La société indique que le parcours utilisateur est ainsi configuré pour ralentir la progression des utilisateurs qui n’auraient pas fait spontanément le choix de paramètres plus protecteurs de la vie privée.

La décision

  1. Manque de transparence et d’information

Tout d’abord, la CNIL reconnaît les progrès réalisés ces dernières années par la Google dans sa politique d’information des utilisateurs. Cependant, elle estime que les exigences du RGPD ne sont pas respectées.

En effet, les informations doivent être fournies de façon aisément accessible. De plus, les informations qui doivent être communiquées aux personnes sont excessivement éparpillées dans plusieurs documents. Un tel choix entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents textes. Celui-ci doit ensuite consulter attentivement une grande quantité d’informations avant de pouvoir identifier le ou les paragraphes pertinents. Le travail fourni par l’utilisateur ne s’arrête toutefois pas là puisqu’il devra encore recouper et comparer les informations collectées afin de comprendre quelles données sont collectées en fonction des différents paramétrages qu’il aura pu choisir.

En deuxième lieu, la CNIL considère que le caractère clair et compréhensible des informations délivrées, exigé par l’article 12 du RGPD, doit s’apprécier en tenant compte de la nature de chaque traitement en cause et de son impact concret sur les personnes concernées. Elle souligne que les traitements de données mis en œuvre par Google sont particulièrement massifs et intrusifs.

Les données collectées proviennent de sources extrêmement variées. Ces informations sont collectées à la fois à partir de l’utilisation du téléphone, de l’utilisation des services de la société, tels que le service de messagerie Gmail ou la plateforme de vidéos Youtube, mais aussi à partir des données générées par l’activité des utilisateurs lorsqu’ils se rendent sur des sites tiers utilisant les services Google grâce notamment aux cookies Google analytics déposés sur ces sites.

La collecte de chacune de ces données est susceptible de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes, dont leurs habitudes de vie, leurs goûts, leurs contacts, leurs opinions ou encore leurs déplacements. Le résultat de la combinaison entre elles de ces données renforce considérablement le caractère massif et intrusif des traitements dont il est question.

La CNIL estime que les informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard, et que par conséquent, les articles 12 et 13 du RGPD ne sont pas respectés.

  1. Manque de justification de base légale

L’article 6 du RGPD affirme que le traitement de données est licite que s’il peut être justifié par au moins un des fondements légaux suivants : consentement, exécution d’un contrat, exécution d’une obligation légale, sauvegarde des intérêts vitaux, exécution d’une mission d’intérêt public, ou aux fins des intérêts légitimes du responsable du traitement.

Il était reproché à Google de ne pas recueillir valablement le consentement des personnes pour les traitements de personnalisation de la publicité. Il était également considéré que la société ne pouvait se prévaloir d’un intérêt légitime pour ces mêmes traitements.

Google estime que des informations simples et claires sont présentées à l’utilisateur lors de la création d’un compte et lui permettent d’avoir connaissance de la manière dont la société utilise les données à des fins de personnalisation de la publicité.

Le consentement doit être donné par « un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant […]. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité »

Selon la CNIL, Google n’a pas fourni aux individus les informations suffisantes, compréhensibles et accessibles nécessaires pour faire un choix éclairé. Google utilisait également des cases pré-cochées pour obtenir le consentement de ses utilisateurs ce qui n’est pas considéré comme un consentement valable selon le RGPD.

La sanction

En cas de manquement aux dispositions du RGDP, l’amende maximale est de 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial de l’entreprise en faute.

La CNIL a dès lors condamné le géant américain, via sa filiale française, à une sanction pécuniaire de 50 millions d’euros.

Cette décision peut faire l’objet d’un recours par Google devant le Conseil d’Etat français dans un délai de quatre mois à partir de sa notification.

Ecrit par Sophie Everarts de Velp