Décision de la CNIL n°SAN-2019-001 du 21 janvier 2019

Le règlement n°2016/679, dit règlement général sur la protection des données (RGPD), unifie et renforce la protection des données à caractère personnel au sein de l’Union européenne. Depuis son entrée en vigueur, le 25 mai 2018, une trentaine d’entreprises se sont vu adresser une mise en demeure ou ont fait l’objet de sanction par la Commission national de l’informatique et des libertés (CNIL).

Le 21 janvier 2019, Google LLC a ainsi été condamné à une amende administrative de 50 millions d’euros pour non-respect du RGPD suite à des plaintes collectives déposées en mai 2018 par La Quadrature du Net et l’association None of Your Business. Elles reprochaient au moteur de recherche d’imposer aux utilisateurs l’acceptation de la politique de confidentialité et des conditions générales d’utilisation, et de n’avoir aucune base juridique valable pour les traitements d’analyse comportementale et de ciblage publicitaire.

L’entreprise californienne estimait que Google Ireland Limited devait être considéré comme son établissement principal au sein de l’Union européenne et donc comme responsable des traitements effectués sur ce territoire. A ce titre, Google LLC soutenait que la CNIL ne pouvait être compétente contre elle, et que seule l’autorité irlandaise pouvait connaître de l’affaire. La formation restreinte de la CNIL a rejeté cet argument en retenant que Google LLC, maison mère établie aux Etats-Unis, pouvait être qualifié de responsable des traitements mis en œuvre en Europe.

A la suite de cette décision, le groupe Google a revu son organisation : Google Ireland dispose, depuis le 31 janvier 2019, de pouvoir de décision vis-à-vis des traitements effectués au sein de l’Union européenne. Google Ireland peut ainsi être considéré comme son « établissement principal » dans l’Union européenne. L’autorité irlandaise (le « Data Protection Commissioner ») pourra maintenant être qualifiée d’autorité « chef de file » à l’égard de cette entreprise au sens de l’article 56 du RGPD.

Sur le fond, la CNIL a sanctionné Google pour deux types de manquements : manquement à l’obligation de disposer d’une base légale pour la publicité personnalisée (article 6 du RGPD), et manquement aux obligations de transparence et d’information (articles 12 et 13 du RGPD).

Sur ce premier fondement, l’autorité de contrôle a notamment considéré que « le consentement sur lequel se fonde la société pour les traitements de personnalisation de la publicité n’est pas valablement recueilli » car il ne pouvait être donné de manière éclairée, spécifique et univoque par les utilisateurs. La CNIL a retenu que le consentement découlait au contraire d’une validation « en bloc » et « par défaut » de tous les traitements.

S’agissant du second fondement, la CNIL a estimé que les informations communiquées aux utilisateurs concernant le traitement de leurs données à caractère personnel, n’étaient pas suffisamment claires et accessibles. Elle a en effet retenu que les informations étaient trop éparpillées au sein des conditions générales et politique de confidentialité, et que les finalités affichées étaient trop imprécises et génériques. Les utilisateurs ne pouvaient donc comprendre l’ampleur des traitements mis en place par Google.

Le Conseil d’Etat, compétent pour se prononcer sur les recours formés contre les décisions de la CNIL, devra à son tour se prononcer sur ces questions à la suite de l’appel de la décision de la CNIL par Google.