La formation restreinte de la CNIL (Commission Nationale de l’Informatique et des Libertés) a prononcé une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC en application du RGPD (Règlement Général sur la Protection des Données) pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

C’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD.

On est en revanche étonné que la CNIL n’impose pas la mise en conformité avec le RGPD dans un délai donné, sous peine de sanctions plus graves.

Un manquement aux obligations de transparence et d’information

L’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires.

L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.

Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google. Or ces traitements sont particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. En particulier, la formation restreinte constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.

De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société Google. Enfin, la formation restreinte relève que la durée de conservation de certaines données n’est pas indiquée.

Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

Pour la formation restreinte, le consentement n’est pas valablement recueilli pour deux raisons :

Le consentement des utilisateurs n’est pas suffisamment éclairé, car l’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur. Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites et applications impliqués dans ces traitements (moteur de recherche, Youtube, Google Home, Google Maps, Playstore, Google photo…) et donc du volume de données traitées et combinées.

Ensuite, la formation restreinte constate que le consentement recueilli n’est pas « spécifique » et « univoque ».

Lors de la création d’un compte, le RGPD n’est pas respecté, car non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non pré-cochée par exemple).

Enfin, avant de créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation  de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte.

Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.). Or le consentement n’est « spécifique », comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.

Plaintes de NOYB et de LQDN

La CNIL s’est penchée sur ce cas suite à des plaintes collectives reçues fin mai 2018 des associations None of Your Business et La Quadrature du Net, cette dernière étant mandatée par 10 000 personnes pour saisir la CNIL.

Dans ces deux plaintes, les associations reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, particulièrement à des fins de personnalisation de la publicité.

Le RGPD, qui est applicable dans l’Union européenne depuis mai 2018, prévoit le mécanisme du « guichet unique » : les autorités de protection des données doivent se coordonner avec l’autorité du pays membre dans lequel est situé l’établissement principal de l’entreprise visée, et seule interlocutrice de cette dernière.

Dans le cas présent, il a été déterminé que Google ne disposait pas d’établissement principal dans l’Union européenne. Le guichet unique ne s’appliquant pas, la CNIL, comme toute autre autorité de protection, est compétente.