Anmar Lucia Pinto, Avocat collaborateur du Pôle IP/IT/Data Protection décrypte cette décision inédite au titre des violations aux principes prévus par le Règlement Général sur la Protection des Données (RGPD).

Deux ans après l’entrée en vigueur du RGPD, les sanctions se font de plus en plus sévères.

Le géant du web a été sanctionné par une décision de la CNIL du 21 janvier 2019 au titre de manquements concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android. Google a saisi le Conseil d’État afin de voir annuler cette condamnation.

Toutefois, par décision du 19 juin 2020, le Conseil d’État a rejeté l’ensemble de ses demandes pour les motifs suivants.

1. GOOGLE a manqué à ses obligations d’information et de transparence

Pour mémoire, le RGPD impose aux responsables de traitement de fournir une information concise, transparente, compréhensible et aisément accessible aux personnes concernées (articles 12, 13 et 14 du RGPD).
Le Conseil d’État a confirmé l’appréciation portée par la CNIL sur l’information insuffisante mise à disposition des utilisateurs d’Android par GOOGLE.
En effet, il a constaté que GOOGLE ne répondait pas efficacement aux exigences de clarté et d’accessibilité requises par le RGPD. Il a de même relevé que la durée de conservation des données et les finalités des différents traitements mis en œuvre n’étaient pas précisées.

2. GOOGLE n’a pas veillé au recueil du consentement libre et éclairé des personnes concernées aux fins de personnalisation de la publicité

Le RGPD exige également que la personne concernée soit en capacité de donner son consentement de façon libre, spécifique, éclairée et univoque au traitement de ses données personnelles (articles 4 et 7 du RGPD).
Au-delà des obligations liées à la transparence, le responsable de traitement doit fournir les informations suivantes aux personnes concernées :

• L’identité du responsable de traitement ;
• Les finalités du traitement ;
• Les catégories de données collectées ; et
• L’existence d’un droit de retrait du consentement.

En l’occurrence, le Conseil d’État a constaté que l’utilisateur qui souhaitait créer un compte GOOGLE était d’abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut. Ce paramétrage inclue des fonctions de personnalisation de la publicité.

L’information sur le ciblage publicitaire qui lui était fournie à cette étape était générale et diluée au milieu d’informations relatives à d’autres finalités.

Le Conseil d’État a confirmé la constatation de la CNIL selon laquelle l’information relative au ciblage publicitaire n’était pas présentée de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement recueilli.

Google n’a par ailleurs pas manqué de soulever que l’utilisateur pouvait obtenir une information complémentaire sur le ciblage publicitaire en cliquant sur le lien « plus d’options ». Dans ce cadre, il était alors invité à donner un consentement spécifique à cette finalité.

Le Conseil d’État a jugé que l’information fournie était, là encore, insuffisante et que le consentement recueilli au moyen d’une case pré-cochée ne répondait pas aux exigences du RGPD.

3. La société mère GOOGLE LLC implantée aux États-Unis contrôlait sa filiale irlandaise

Le géant du web estimait que l’autorité irlandaise de protection des données personnelles était la seule compétente pour contrôler ses activités dans l’Union Européenne. Il considérait que cette mission revenait à l’autorité compétente du pays de son établissement principal en application du principe de « guichet unique » prévu par le RGPD.

Le Conseil d’État a toutefois relevé qu’à la date de la sanction, la filiale irlandaise de GOOGLE ne disposait pas des pouvoirs de contrôle et décisionnels sur les autres filiales européennes et que seule la société mère GOOGLE LLC détenait lesdits pouvoirs.

Il s’agit d’une décision inédite qui confirme les pouvoirs renforcés de contrôle de la CNIL dont elle est investie conformément au RGPD et à la loi Informatique et Libertés.

Enfin, sur la base des éléments juridiques et factuels susvisés, le Conseil d’État a précisé que la sanction à hauteur de 50 millions d’euros prononcée ne saurait être disproportionnée. Il a en effet tenu compte de la gravité particulière des manquements constatés, de leur caractère continu et de la situation financière de la société GOOGLE LLC.

Dans le prolongement de cette décision, nous ne pouvons que vous recommander de veiller au respect de vos obligations en matière de données personnelles et d’assurer la conformité de vos traitements avec les principes prévus par le RGPD.