L’Essentiel : Le Conseil d’État a confirmé une amende de 50 millions d’euros infligée à Google LLC par la CNIL pour manque de transparence et absence de consentement éclairé dans le traitement des données personnelles. La haute juridiction a souligné que l’information fournie aux utilisateurs était trop générale et éparpillée, rendant difficile la compréhension des finalités des traitements. De plus, le consentement recueilli était jugé non valide en raison d’un manque d’information préalable. La CNIL a été reconnue compétente pour sanctionner, car Google Ireland Limited ne remplissait pas les critères d’établissement principal au sens du RGPD.

Le Conseil d’État a confirmé la sanction de 50 millions d’euros prononcée contre Google LLC par la CNIL (délibération n° SAN-2019-001 du 21 janvier 2019). En cause, le manque de transparence de Google LLC, l’absence de collecte d’un consentement éclairé et des transferts transfrontaliers de données personnelles vers l’Irlande, sans désignation de chef de file.       

Sanction du manque de transparence

La haute juridiction administrative a considéré que l’arborescence choisie par Google dans le traitement des données de l’internaute apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées.

Pour rappel, l’article 12 du RGPD pose que le responsable du traitement doit prendre des mesures appropriées pour fournir toute information en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. L’information fournie aux utilisateurs doit les mettre en mesure de déterminer à l’avance la portée et les conséquences du traitement afin d’éviter qu’ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d’intelligibilité, de clarté et de simplicité de l’information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l’utilisateur d’en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l’ampleur du traitement doivent lui être aisément accessibles.

En premier lieu, le premier niveau d’information proposé par Google aux utilisateurs apparaît excessivement général eu égard à l’ampleur des traitements opérés par la société, au degré d’intrusion dans la vie privée qu’ils impliquent et au volume et à la nature des données collectées.

En deuxième lieu, les informations essentielles relatives à certains traitements ne sont accessibles qu’à la suite de nombreuses actions, ou qu’elles ne le sont qu’à partir de liens hypertextes eux-mêmes difficilement accessibles.

En troisième et dernier lieu, l’information transmise est elle-même parfois lacunaire ou insuffisamment précise, y compris dans les derniers niveaux d’information. Il résulte ainsi de l’instruction que le document relatif à la conservation des données édité par Google indique que certaines données pourront être conservées « pendant de longues périodes pour des raisons précises », sans indiquer ni les finalités poursuivies ni les données concernées.

Consentement non éclairé de l’internaute

Si l’utilisateur est toujours invité à signaler qu’il accepte que ses informations soient traitées conformément au paramétrage par défaut de son compte, c’est-à-dire en incluant des fonctions de personnalisation des annonces, l’information dont il dispose au regard de cette finalité est générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale, tant au premier niveau d’information que de la fenêtre intitulée « simple confirmation ». Faute d’information préalable suffisante, le consentement recueilli de manière globale pour l’ensemble des finalités, y compris celle-ci, ne peut être regardé comme éclairé ni, par voie de conséquence et en tout état de cause, comme valide.

Transfert transfrontalier de données

La société Google LLC a fait valoir sans succès que la CNIL n’était pas compétente pour engager la procédure de sanction et qu’elle était tenue de transmettre les plaintes qu’elle avait reçues à l’autorité de protection des données irlandaises, dès lors que la société Google Ireland Limited devait être considérée comme son établissement principal au sein de l’Union européenne.

Or, à la date de la sanction, la société Google Ireland n’exerçait pas un pouvoir de direction ou de contrôle sur les autres filiales européennes de la société Google LLC de nature à la regarder comme une administration centrale au sens du RGPD. D’autre part, cet établissement, qui s’est vu attribuer de nouvelles responsabilités s’agissant des traitements opérés par Google en Europe qu’à partir du 22 janvier 2019, soit postérieurement à la date de la sanction attaquée, ne disposait jusqu’à cette date d’aucun pouvoir décisionnel quant aux finalités et aux moyens des traitements litigieux, pas plus qu’aucun autre de ses établissements européens. La société Google LLC, qui seule déterminait leurs finalités et moyens, ne disposait pas, à la date de la sanction attaquée, d’établissement principal au sein de l’Union européenne, au sens et pour l’application du RGPD. Aucune autorité chef de file ne pouvant dès lors être désignée dans les conditions prévues à l’article 56 du RGPD, la CNIL était compétente pour instruire les plaintes.

Pour rappel, lorsqu’est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l’Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en oeuvre un traitement transfrontalier sur le territoire de l’Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en oeuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève.

Sanction proportionnée

Eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50 000 000 d’euros prononcée à l’encontre de la société Google a été considérée comme proportionnée. Télécharger la décision

Q/R juridiques soulevées :

Quelle est la raison de la sanction de 50 millions d’euros contre Google LLC ?

La sanction de 50 millions d’euros prononcée contre Google LLC par la CNIL a été confirmée par le Conseil d’État en raison de plusieurs manquements graves.

Ces manquements incluent un manque de transparence dans le traitement des données personnelles des utilisateurs, l’absence de collecte d’un consentement éclairé, ainsi que des transferts transfrontaliers de données vers l’Irlande sans désignation d’un chef de file.

Le Conseil d’État a souligné que l’arborescence choisie par Google pour informer les utilisateurs était peu accessible et nuisant à la clarté des informations fournies.

Cela a conduit à une situation où les utilisateurs n’étaient pas suffisamment informés des implications du traitement de leurs données personnelles.

Comment Google a-t-il manqué à ses obligations de transparence ?

Google a été critiqué pour la manière dont il a organisé l’information concernant le traitement des données personnelles.

L’arborescence de l’information était jugée éparpillée, rendant difficile pour les utilisateurs de comprendre comment leurs données étaient utilisées.

Selon l’article 12 du RGPD, les responsables de traitement doivent fournir des informations de manière concise, transparente et compréhensible.

Cependant, Google a proposé un premier niveau d’information jugé trop général, ne tenant pas compte de l’ampleur des traitements effectués et de leur degré d’intrusion dans la vie privée des utilisateurs.

De plus, des informations essentielles étaient accessibles uniquement après de nombreuses actions, ce qui compliquait encore la compréhension pour les utilisateurs.

Quelles sont les implications du consentement non éclairé des utilisateurs ?

Le consentement des utilisateurs pour le traitement de leurs données a été jugé non éclairé en raison de l’information générale et diluée fournie par Google.

Les utilisateurs étaient invités à accepter le traitement de leurs informations sans avoir reçu des détails clairs sur les finalités spécifiques de ce traitement.

Cette absence d’information préalable suffisante a conduit à la conclusion que le consentement recueilli ne pouvait pas être considéré comme éclairé ou valide.

Cela soulève des préoccupations quant à la protection des données personnelles et à la manière dont les entreprises doivent informer les utilisateurs de leurs droits et des implications du traitement de leurs données.

Pourquoi la CNIL était-elle compétente pour sanctionner Google ?

Google LLC a tenté de faire valoir que la CNIL n’était pas compétente pour engager la procédure de sanction, arguant que Google Ireland Limited devait être considérée comme son établissement principal en Europe.

Cependant, à la date de la sanction, Google Ireland n’exerçait pas de pouvoir de direction sur les autres filiales européennes, ce qui a conduit à la conclusion que Google LLC n’avait pas d’établissement principal au sens du RGPD.

En conséquence, la CNIL a été jugée compétente pour instruire les plaintes, car aucune autorité chef de file ne pouvait être désignée.

Cela souligne l’importance de la compétence nationale dans le cadre des traitements transfrontaliers de données lorsque les conditions du RGPD ne sont pas remplies.

Comment la sanction de 50 millions d’euros a-t-elle été jugée proportionnée ?

La sanction de 50 millions d’euros a été considérée comme proportionnée en raison de la gravité des manquements commis par Google.

Les critères pris en compte incluent la nature des exigences méconnues, les effets sur les utilisateurs, le caractère continu des manquements et la durée pendant laquelle ils ont perduré.

De plus, la situation financière de Google a également été un facteur dans l’évaluation de la proportionnalité de la sanction.

Le montant de la sanction est conforme aux plafonds prévus par le RGPD, ce qui renforce l’idée qu’elle était appropriée au regard des circonstances et des violations constatées.