La CNIL a infligé en janvier 2019 une sanction administrative de 50 millions d’euros à Google pour infraction au RGPD. La peine a été confirmée en juin 2020 par le Conseil d’État.

C’est un record en France, qui montre l’étendue des moyens de sanction qu’offre le Règlement général sur la protection des données. En janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a annoncé avoir infligé une amende de 50 millions d’euros à l’encontre de Google. Jamais la CNIL n’avait puni le géant du web à un tel niveau. Le précédent record s’élevait à… 150 000 euros.

L’affaire, contestée par Google dans le cadre d’un recours devant le Conseil d’État, s’est achevée en juin 2020 avec le rejet de l’action de l’entreprise américaine par la plus haute juridiction de l’ordre administratif français, au motif que la décision de la CNIL était légitime, et le montant proportionné. Retour sur ce dossier à travers notre foire aux questions

Quelles infractions ont été relevées ?

Trois manquements ont été identifiés par la CNIL pour justifier cette amende : un manque de transparence, les informations fournies par Google n’étant « pas aisément accessibles pour les utilisateurs » ;  une information insatisfaisante, qui n’est pas « toujours claire et compréhensible » ; et une absence de consentement valable pour la personnalisation de la publicité.

Concernant l’accès à l’information, la CNIL regrette que des « informations essentielles […] soient excessivement disséminées dans plusieurs documents ». Il faut que l’internaute navigue entre plusieurs boutons et liens pour accéder aux indications « pertinentes ». Ainsi, la CNIL a dénombré cinq ou six actions préalables à effectuer avant d’arriver aux explications adéquates. C’est trop.

Marie-Laure Denis cnil

Marie-Laure Denis, présidente de la CNIL.

Source : DR-CSA

Au sujet de la qualité de l’information, les traitements réalisés par Google « sont décrits de façon trop générique et vague », tout comme les données concernées. En clair, l’internaute « n’est pas en mesure de comprendre l’ampleur des traitements », alors que ceux-ci « sont particulièrement massifs et intrusifs, en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées. »

Enfin, au sujet du consentement, la CNIL observe que le consentement des internautes « n’est pas suffisamment éclairé » (du fait des manquements précédents), que des cases d’approbation sont pré-cochées par défaut (comme l’affichage des publicités personnalisées) et que les conditions d’utilisation sont présentées de telle façon qu’il est obligé de les accepter en bloc, au lieu de faire eu cas par cas.

Les raisons d’une telle sanction

Ces fautes ne portent pas sur des points anecdotiques : au contraire, elles portent sur « des principes essentiels » du Règlement. Leur absence « prive les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée ». Or, « l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données. »

La CNIL a aussi tenu compte de certaines particularités, comme le poids du système d’exploitation Android en France (« ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte Google à l’occasion de l’utilisation de leur smartphone ») et le modèle économique de la firme de Mountain View, basé sur la publicité, qui de fait lui impose « une responsabilité toute particulière ».

google-mobile-smartphone-asus-android1-ss-1920-min

Le parcours d ‘un utilisateur sur Android a été pris en compte.

Enfin, l’autorité administrative indépendante fait observer que cette sanction ne punit pas « un manquement ponctuel, délimité dans le temps », mais plusieurs infractions qui sont toujours en cours à ce jour et qui constituent donc des « violations continues » du RGPD. Pour toutes ces raisons, il apparaissait nécessaire à la CNIL de frapper fort, même si ce n’est pas le coup le plus rude que la CNIL aurait pu porter.

Dans le cadre du Règlement général sur la protection des données, Google s’expose à des sanctions dont le montant peut atteindre 4 % de son chiffre d’affaires annuel mondial total de l’exercice précédent. Il est toutefois à noter que les peines prononcées par la CNIL sont susceptibles de faire l’objet d’un appel devant le Conseil d’État, la plus haute juridiction administrative française.

Qui figure à l’origine de l’action ?

Dès l’application du Règlement général sur la protection des données personnelles dans l’espace européen, le 25 mai, deux associations sont immédiatement montées au créneau. Dès le 25 mai, l’association NOYB (None of Your Business), fondée par le juriste et activiste autrichien Maximilian Schrems, a lancé des actions contre Google et Facebook (dont ses filiales WhatsApp et Instagram).

Trois jours plus tard, le 28, la Quadrature du Net est aussi descendue dans l’arène en optant pour la forme du recours collectif. Dès le mois d’avril, l’association française a annoncé ses intentions contre Google, Apple, Facebook, Amazon et Microsoft. Au final, ce sont plus de 10 000 internautes qui se sont rassemblés derrière l’étendard de la Quadrature du Net.

Google dépose un recours

Dans la foulée de ce verdict, Google a manifesté le 23 janvier 2019 son désaccord avec la lecture des faits par la CNIL.

L’entreprise américaine a diffusé un communiqué de presse dans lequel elle indique avoir « travaillé d’arrache-pied pour créer un processus de consentement RGPD pour les annonces personnalisées qui soit le plus transparent et le plus simple possible. (…) Nous sommes aussi préoccupés par les effets  de cette décision (…). Pour toutes ces raisons, nous avons décidé de faire appel ».

Décision du Conseil d’État

L’épilogue de cette affaire est venu le 19 juin lorsque le Conseil d’État s’est prononcé sur le recours de Google. La plus haute instance de l’ordre administratif français, qui reçoit les appels formés à l’encontre notamment des décisions prises par la CNIL, a annoncé le rejet de l’action de l’entreprise américaine. L’appréciation portée par la CNIL s’est avérée juste et le montant de l’amende est proportionné.

conseil-etat

Le Conseil d'État

Source : Lino Bento

Au passage, le Conseil d’État a aussi considéré que l’action de la CNIL était légale, alors que Google considérait que la seule autorité de protection des données compétente était celle basée en Irlande, pays dans lequel se trouve le siège européen de Google, dans la mesure où le RGPD laisse le contrôle du traitement des données à l’autorité du pays où la société en cause est située.

Si le point de vue de Google était fondé, la juridiction administrative a fait observer que ce processus européen était inopérant du fait justement que la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur les traitements de données, quand la sanction est tombée. Dès lors, la CNIL redevenait légitime à agir.

Quelles sont les réactions ?

La CNIL observe dans la décision du Conseil d’État l’approbation de l’institution à l’égard de son analyse juridique. « Le Conseil d’État estime que les manquements de Google relevés par la CNIL sont constitués. Ce sont ainsi les exigences de la CNIL en matière de transparence et de licéité face à un traitement massif et intrusif que le Conseil d’État a validées », écrit l’autorité administrative.

Pour sa part, La Quadrature du Net qualifie ce verdict de « nouvelle victoire », d’autant qu’il « valide intégralement en la reprenant à son compte, la sanction de 50 millions d’euros contre Google prononcée en janvier 2019 par la CNIL ». L’association de défense des libertés des internautes n’oublie pas néanmoins que bien d’autres affaires sont en cours d’instruction, contre Google encore, mais aussi Facebook, Apple et Microsoft.

Quant à NOYB, elle estime que « cette décision nécessite des améliorations substantielles de la part de Google. Sa politique de protection de la vie privée doit maintenant indiquer très clairement ce qu’il fait des données des utilisateurs. Les utilisateurs doivent également avoir la possibilité de n’accepter que certaines parties de ce que Google fait avec leurs données et de refuser d’autres choses »

(mise à jour avec la décision du Conseil d’État et les réactions associées)


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !