Première sanction française RGPD : GOOGLE sanctionné à hauteur de 50 millions d'euros par la CNIL

 Merav Griguer, Sharone Franco, Julie Schwartz

01-2019

Par une délibération en date du 21 janvier 2019 (consultable ici), la formation restreinte de la CNIL a prononcé la première sanction française en application du RGPD depuis l’entrée en application dudit règlement, à savoir une sanction pécuniaire d’un montant  record de 50 millions d’euros à l’encontre de GOOGLE LLC. 

Les 25 et 28 mai 2018, l’association La Quadrature Du Net (« LQDN »), ainsi que l’association None Of Your Business (« NOYB ») ont déposé cinq plaintes collectives à l’encontre de Facebook, Google, Apple, Amazon et LinkedIn auprès de la CNIL. Parmi celles-ci, deux plaintes dirigées directement contre GOOGLE.

Mettant en œuvre les nouvelles dispositions de l’article 80 du RGPD, permettant aux personnes concernées de mandater un organisme, une organisation ou une association pour introduire en leur nom une réclamation, les deux plaintes réunissaient ensemble les réclamations de 9.974 internautes. 

L’objet de ces plaintes visait principalement à soulever le caractère illicite du traitement de données, à des fins d’analyse comportementale et de ciblage publicitaire, mis en œuvre par GOOGLE, en soulevant  notamment l’absence d’une base juridique valable.

Le 21 septembre 2018, la CNIL a réalisé un contrôle en ligne afin de vérifier la conformité à  la loi Informatique et Libertés et au RGPD de tout traitement relatif à l’utilisation du système d’exploitation Android pour équipement mobile, incluant la création d’un compte Google (parcours de l’utilisateur et documents accessibles).

Les investigations menées par la formation restreinte de la CNIL ont mis en lumière deux principales typologies de manquements qui font l’objet de cette condamnation historique :

•       Manquement aux obligations de transparence et d’information (articles 12 et 13 du RGPD)

Pour la CNIL, l’exigence d’accessibilité, qui repose en partie sur des choix ergonomiques, n’est pas remplie en l’espèce car l’architecture générale de l’information choisie par GOOGLE nécessite cinq à six étapes pour accéder à l’information pertinente. En effet, elle précise que les informations prévues à l’article 13 du RGPD sont excessivement éparpillées dans trois documents, accessibles dans un second temps au moyen de liens cliquables.

La CNIL souligne qu’une grande quantité d’informations doit être consultée pour d’identifier le(s) paragraphe(s) pertinent(s) et que l’utilisateur doit encore recouper et comparer lesdites informations afin de comprendre lesquelles de ses données sont collectées selon les paramétrages choisis.

L’autorité française a également constaté que certaines informations ne revêtent pas un caractère « clair » et « compréhensible ». La description trop générique des finalités au regard de la portée des traitements (particulièrement massifs et intrusifs), de même que la description imprécise et incomplète des données à caractère personnel collectées provenant de sources extrêmement variées ne permettent pas à l’utilisateur de prendre la mesure de l’ampleur des traitements mis en œuvre par GOOGLE, ni du degré d’intrusion dans la vie privée.

En outre, la CNIL insiste sur le manque de clarté quant à la distinction entre la publicité personnalisée « qui repose d’après les dires de la société sur le consentement », et d’autres formes de ciblage, utilisant par exemple la navigation, fondées sur l’intérêt légitime. 
 
•       Manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité (article 6 du RGPD)

La CNIL considère que le consentement sur lequel se fonde GOOGLE pour les traitements de personnalisation de la publicité n’est pas valablement recueilli.

D’une part, ce consentement ne serait pas suffisamment éclairé. Il est reproché à GOOGLE l’insuffisance d’information sur les traitements de personnalisation de la publicité, le manque d’accessibilité de celle-ci (disséminée dans des documents distincts), ainsi que l’absence de clarté et d’intelligibilité suffisante (appréhension globale difficile de la portée des différents traitements). D’autre part, la CNIL rappelle qu’au regard de l’exigence de caractère spécifique et univoque du consentement,  il convient qu’un acte positif clair soit matérialisé, excluant ainsi les cases cochées par défaut ou d’inactivité. En outre, un consentement distinct doit être donné pour chaque opération de traitement.

En l’espèce, la CNIL constate que l’affichage des annonces personnalisées est pré-coché par défaut, et d’autre part que l’utilisateur est tenu d’accepter « en bloc » l’ensemble des traitements mis en œuvre par GOOGLE, parmi lesquels la personnalisation de la publicité ou encore la reconnaissance vocale. Le consentement ne revêt donc pas de caractère spécifique et univoque puisqu’il n’est pas donné au moyen d’acte positif par lequel la personne concernée consent spécifiquement et distinctement au traitement de ses données personnelles à des fins de personnalisation de la publicité.

Notons que la CNIL ne se prononce pas en l’espèce sur la validité même du consentement, en qualité de seule base légale conforme, pour les traitements de données personnelles ayant pour finalité la mise en œuvre de mécanismes de publicité ciblée. Cette question reste aujourd’hui centrale pour les acteurs du secteur, notamment au regard des enjeux stratégiques et opérationnels qu’elle implique.

Cette décision qui vise spécifiquement des pratiques propres à GOOGLE et son fonctionnement structurel ne semble pas, à ce stade, pouvoir être considérée comme impactant de façon trop importante le secteur dans son ensemble.

Enfin, si la CNIL a pu faire application pour la toute première fois des nouveaux plafonds de sanction prévus par le RGPD, s’élevant désormais à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, elle est loin d’avoir appliqué le plafond maximal. En effet, en 2017, GOOGLE LLC. a réalisé un chiffre d’affaires de 109,7 milliards de dollars (environ 96 milliards d’euros).