Réf. : CNIL, délib. n° SAN 2019-001, 21 janvier 2019 (N° Lexbase : X0990BDZ)
Lecture: 3 min
N7299BXM
Citer l'article
Créer un lien vers ce contenu
par Vincent Téchené
le 23 Janvier 2019
► Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google en application du «RGPD» (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité (CNIL, délib. n° SAN 2019-001, 21 janvier 2019 N° Lexbase : X0990BDZ ; cf. CNIL, communiqué du 21 janvier 2019).
Les 25 et 28 mai 2018, la CNIL a reçu des plaintes collectives de deux associations qui reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.
La CNIL a commencé à instruire ces plaintes. Par ailleurs, le 1er juin 2018, conformément aux dispositions relatives à la coopération européenne fixées par le «RGPD», la CNIL a soumis ces deux plaintes à ses homologues européens pour vérifier si elle était compétente pour les traiter. En l’espèce, les échanges avec les autres autorités, notamment l’autorité de protection irlandaise où se situe le siège européen de Google, n’ont pas permis de considérer que Google disposait d’un établissement principal dans l’Union européenne. En effet, à la date à laquelle la CNIL a entrepris ses poursuites, l’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile. Le système dit du «guichet unique» n’étant pas applicable, la CNIL, au même titre que toutes les autres autorités de protection de l’Union, était dès lors compétente pour prendre des décisions concernant les traitements mis en œuvre par Google.
Sur la base des investigations menées, la formation restreinte a constaté deux séries de manquements au «RGPD».
Elle relève d’abord un manquement aux obligations de transparence et d’information, les informations fournies par Google n’étant pas aisément accessibles pour les utilisateurs.
En effet, l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.
De même, la formation restreinte constate que les informations délivrées ne sont pas toujours claires et compréhensibles.
La CNIL constate ensuite un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité.
La société Google invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or la formation restreinte estime que le consentement n’est pas valablement recueilli pour deux raisons.
Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.
Ensuite, la formation restreinte constate que le consentement recueilli n’est pas «spécifique» et «univoque».
Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte et il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées. Mais, le «RGPD» n’est pas pour autant respecté : en effet, non seulement l’utilisateur doit faire la démarche de cliquer sur «plus d’options» pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est «univoque», comme l’exige le «RGPD», qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non pré-cochée par exemple). Enfin, avant de créer son compte, l’utilisateur est invité à cocher les cases «j’accepte les conditions d’utilisation de Google» et «j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité» pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord. Or le consentement n’est «spécifique», comme l’exige le «RGPD», qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.
En prononçant une sanction de 50 millions d’euros, c’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le «RGPD».
© Reproduction interdite, sauf autorisation écrite préalable
newsid:467299