Type de juridiction : Conseil d’Etat

Juridiction : Conseil d’État

Thématique : Sanction de 50 millions d’euros contre Google confirmée

Le Conseil d’État a confirmé la sanction de 50 millions d’euros prononcée contre Google LLC par la CNIL (délibération n° SAN-2019-001 du 21 janvier 2019). En cause, le manque de transparence de Google LLC, l’absence de collecte d’un consentement éclairé et des transferts transfrontaliers de données personnelles vers l’Irlande, sans désignation de chef de file.       

Sanction du manque de transparence

La haute juridiction administrative a considéré que l’arborescence choisie par Google dans le traitement des données de l’internaute apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées.

Pour rappel, l’article 12 du RGPD pose que le responsable du traitement doit prendre des mesures appropriées pour fournir toute information en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. L’information fournie aux utilisateurs doit les mettre en mesure de déterminer à l’avance la portée et les conséquences du traitement afin d’éviter qu’ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d’intelligibilité, de clarté et de simplicité de l’information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l’utilisateur d’en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l’ampleur du traitement doivent lui être aisément accessibles.

En premier lieu, le premier niveau d’information proposé par Google aux utilisateurs apparaît excessivement général eu égard à l’ampleur des traitements opérés par la société, au degré d’intrusion dans la vie privée qu’ils impliquent et au volume et à la nature des données collectées.

En deuxième lieu, les informations essentielles relatives à certains traitements ne sont accessibles qu’à la suite de nombreuses actions, ou qu’elles ne le sont qu’à partir de liens hypertextes eux-mêmes difficilement accessibles.

En troisième et dernier lieu, l’information transmise est elle-même parfois lacunaire ou insuffisamment précise, y compris dans les derniers niveaux d’information. Il résulte ainsi de l’instruction que le document relatif à la conservation des données édité par Google indique que certaines données pourront être conservées « pendant de longues périodes pour des raisons précises », sans indiquer ni les finalités poursuivies ni les données concernées.

Consentement non éclairé de l’internaute

Si l’utilisateur est toujours invité à signaler qu’il accepte que ses informations soient traitées conformément au paramétrage par défaut de son compte, c’est-à-dire en incluant des fonctions de personnalisation des annonces, l’information dont il dispose au regard de cette finalité est générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale, tant au premier niveau d’information que de la fenêtre intitulée « simple confirmation ». Faute d’information préalable suffisante, le consentement recueilli de manière globale pour l’ensemble des finalités, y compris celle-ci, ne peut être regardé comme éclairé ni, par voie de conséquence et en tout état de cause, comme valide.

Transfert transfrontalier de données

La société Google LLC a fait valoir sans succès que la CNIL n’était pas compétente pour engager la procédure de sanction et qu’elle était tenue de transmettre les plaintes qu’elle avait reçues à l’autorité de protection des données irlandaises, dès lors que la société Google Ireland Limited devait être considérée comme son établissement principal au sein de l’Union européenne.

Or, à la date de la sanction, la société Google Ireland n’exerçait pas un pouvoir de direction ou de contrôle sur les autres filiales européennes de la société Google LLC de nature à la regarder comme une administration centrale au sens du RGPD. D’autre part, cet établissement, qui s’est vu attribuer de nouvelles responsabilités s’agissant des traitements opérés par Google en Europe qu’à partir du 22 janvier 2019, soit postérieurement à la date de la sanction attaquée, ne disposait jusqu’à cette date d’aucun pouvoir décisionnel quant aux finalités et aux moyens des traitements litigieux, pas plus qu’aucun autre de ses établissements européens. La société Google LLC, qui seule déterminait leurs finalités et moyens, ne disposait pas, à la date de la sanction attaquée, d’établissement principal au sein de l’Union européenne, au sens et pour l’application du RGPD. Aucune autorité chef de file ne pouvant dès lors être désignée dans les conditions prévues à l’article 56 du RGPD, la CNIL était compétente pour instruire les plaintes.

Pour rappel, lorsqu’est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l’Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en oeuvre un traitement transfrontalier sur le territoire de l’Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en oeuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève.

Sanction proportionnée

Eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50 000 000 d’euros prononcée à l’encontre de la société Google a été considérée comme proportionnée. Télécharger la décision