La CNIL condamne Google LLC à 50 millions d’euros pour violation du RGPD

Le 21 janvier dernier, la CNIL a rendu une délibération en formation restreinte condamnant Google LLC pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité (articles 6, 12 et 13 du RGPD).

Dès l’entrée en vigueur du RGPD, les 25 et 28 mai 2018, deux associations ont transmis à la CNIL une plainte reprochant à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de publicité personnalisée dans le cadre du système d’exploitation Android.

La première question relevait de la compétence de la CNIL pour instruire ces plaintes, notamment du fait de la mise en place par le RGPD du système de « guichet unique » selon lequel un organisme établi dans l’Union Européenne doit avoir pour seul interlocuteur l’autorité du pays où est situé son établissement principal. Le siège européen de Google étant en Irlande, la CNIL devait s’assurer que l’autorité irlandaise n’était pas l’autorité dite « chef de file » qui doit prendre les décisions et doit se coordonner avec les autres autorités nationales de protection des données. La CNIL et les autres autorités ont considéré que Google ne disposait d’un établissement principal en Irlande dès lors que cet établissement ne dispose d’aucun pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android.

La CNIL a alors constaté deux séries de manquements :

Un manquement aux obligations de transparence et d’information. Une fois que l’utilisateur accède à ces informations, elles ne sont pas claires ou compréhensibles et il n’est pas en mesure de comprendre l’ampleur des traitements mis en place, qualifié par la CNIL de « particulièrement massifs et intrusifs » ni de mesurer la portée des principaux traitements sur leur vie privée. En particulier, les finalités sont décrites de manière trop vague ou générique et il n’est pas clair pour l’utilisateur que la personnalisation de la publicité est fondée sur le consentement et non sur l’intérêt légitime de Google. 

    • A noter que la CNIL reproche à Google de ne pas indiquer une durée de conservation précise ni les critères utilisés pour déterminer cette durée.
    • Il est essentiellement reproché à Google d’avoir disséminé les informations essentielles relatives au traitement des données personnelles des utilisateurs dans plusieurs documents, difficilement accessibles, aux titres non explicites et nécessitant parfois jusqu’à 5 ou 6 actions, « parcours dénué de tout caractère intuitif ». Le respect de l’article 12 du RGPD relatif à la transparence des informations et des communications repose donc pour la CNIL en partie sur « les choix ergonomiques faits par le responsable du traitement ». Il ne suffit donc pas que l’information apparaisse quelque part, encore faut-il qu’elle soit facilement accessible au moment de la première collecte des données.

Un manquement à l’obligation de disposer d’une base légale pour la personnalisation de la publicitéPar ailleurs lorsque le traitement est fondé sur le consentement il doit être donné spécifiquement et distinctement pour chaque finalité. Un consentement global, comme le pratique Google, n’est donc pas conforme au RGPD. A cet égard l’analyse de la CNIL sur le consentement à des finalités proches est très restrictif. Elle considère que le consentement ne peut être mutualisé que si par ailleurs et préalablement l’utilisateur peut consentir spécifiquement et distinctement pour chaque finalité par un acte positif clair.

  • Tout traitement de données personnelles doit avoir une base légale qui le plus couramment est le consentement, l’exécution d’un contrat, le respect d’une obligation légale ou les intérêts légitimes poursuivis par le responsable du traitement. En l’espèce, concernant la publicité personnalisée, Google indiquait que la base légale était le consentement des utilisateurs. La CNIL a considéré que ce consentement n’était pas valablement recueilli du fait (i) qu’il n’était pas suffisamment éclairé car l’information est trop diffuse et ne permet pas d’apprécier l’ampleur du traitement et (ii) que ce consentement n’était pas spécifique et univoque (article 4 du RGPD). En particulier, l’affichage d’annonces personnalisées est pré-coché par défaut, excluant le caractère univoque qui suppose un acte positif. La case pré-cochée est depuis longtemps condamnée par la CNIL comme excluant un consentement valable.

Ce sont les raisons pour lesquelles la CNIL a prononcé une sanction de 50 millions d’euros en faisant application pour la première fois des nouveaux plafonds de sanction prévus par le RGPD. La CNIL justifie ce montant par la gravité des manquements qui portent atteinte aux principes essentiels du RGPD : transparence, information et consentement et du fait que les manquements perdurent et n’ont pas été limités dans le temps.

Emmanuelle Behr
Avocate Associée
Redlink