L’essentiel : Le Conseil d’État a confirmé la sanction de 50 millions d’euros infligée à Google LLC par la CNIL pour manque de transparence et absence de consentement éclairé. La haute juridiction a souligné que l’arborescence d’information de Google nuit à l’accessibilité pour les utilisateurs, rendant difficile la compréhension des traitements de données. De plus, le consentement recueilli est jugé non éclairé, car l’information fournie est trop générale et diluée. Concernant les transferts de données, Google n’a pas pu prouver que son établissement irlandais était compétent, permettant ainsi à la CNIL d’agir. La sanction est considérée comme proportionnée face à la gravité des manquements.

Le Conseil d’État a confirmé la sanction de 50 millions d’euros prononcée contre Google LLC par la CNIL (délibération n° SAN-2019-001 du 21 janvier 2019). En cause, le manque de transparence de Google LLC, l’absence de collecte d’un consentement éclairé et des transferts transfrontaliers de données personnelles vers l’Irlande, sans désignation de chef de file.       

Sanction du manque de transparence

La haute juridiction administrative a considéré que l’arborescence choisie par Google dans le traitement des données de l’internaute apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées.

Pour rappel, l’article 12 du RGPD pose que le responsable du traitement doit prendre des mesures appropriées pour fournir toute information en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. L’information fournie aux utilisateurs doit les mettre en mesure de déterminer à l’avance la portée et les conséquences du traitement afin d’éviter qu’ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d’intelligibilité, de clarté et de simplicité de l’information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l’utilisateur d’en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l’ampleur du traitement doivent lui être aisément accessibles.

En premier lieu, le premier niveau d’information proposé par Google aux utilisateurs apparaît excessivement général eu égard à l’ampleur des traitements opérés par la société, au degré d’intrusion dans la vie privée qu’ils impliquent et au volume et à la nature des données collectées.

En deuxième lieu, les informations essentielles relatives à certains traitements ne sont accessibles qu’à la suite de nombreuses actions, ou qu’elles ne le sont qu’à partir de liens hypertextes eux-mêmes difficilement accessibles.

En troisième et dernier lieu, l’information transmise est elle-même parfois lacunaire ou insuffisamment précise, y compris dans les derniers niveaux d’information. Il résulte ainsi de l’instruction que le document relatif à la conservation des données édité par Google indique que certaines données pourront être conservées « pendant de longues périodes pour des raisons précises », sans indiquer ni les finalités poursuivies ni les données concernées.

Consentement non éclairé de l’internaute

Si l’utilisateur est toujours invité à signaler qu’il accepte que ses informations soient traitées conformément au paramétrage par défaut de son compte, c’est-à-dire en incluant des fonctions de personnalisation des annonces, l’information dont il dispose au regard de cette finalité est générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale, tant au premier niveau d’information que de la fenêtre intitulée « simple confirmation ». Faute d’information préalable suffisante, le consentement recueilli de manière globale pour l’ensemble des finalités, y compris celle-ci, ne peut être regardé comme éclairé ni, par voie de conséquence et en tout état de cause, comme valide.

Transfert transfrontalier de données

La société Google LLC a fait valoir sans succès que la CNIL n’était pas compétente pour engager la procédure de sanction et qu’elle était tenue de transmettre les plaintes qu’elle avait reçues à l’autorité de protection des données irlandaises, dès lors que la société Google Ireland Limited devait être considérée comme son établissement principal au sein de l’Union européenne.

Or, à la date de la sanction, la société Google Ireland n’exerçait pas un pouvoir de direction ou de contrôle sur les autres filiales européennes de la société Google LLC de nature à la regarder comme une administration centrale au sens du RGPD. D’autre part, cet établissement, qui s’est vu attribuer de nouvelles responsabilités s’agissant des traitements opérés par Google en Europe qu’à partir du 22 janvier 2019, soit postérieurement à la date de la sanction attaquée, ne disposait jusqu’à cette date d’aucun pouvoir décisionnel quant aux finalités et aux moyens des traitements litigieux, pas plus qu’aucun autre de ses établissements européens. La société Google LLC, qui seule déterminait leurs finalités et moyens, ne disposait pas, à la date de la sanction attaquée, d’établissement principal au sein de l’Union européenne, au sens et pour l’application du RGPD. Aucune autorité chef de file ne pouvant dès lors être désignée dans les conditions prévues à l’article 56 du RGPD, la CNIL était compétente pour instruire les plaintes.

Pour rappel, lorsqu’est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l’Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Dans l’hypothèse où un responsable de traitement implanté en dehors de l’Union européenne met en oeuvre un traitement transfrontalier sur le territoire de l’Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en oeuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’Etat membre dont elle relève.

Sanction proportionnée

Eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50 000 000 d’euros prononcée à l’encontre de la société Google a été considérée comme proportionnée. Télécharger la décision

Q/R juridiques soulevées :

Quelle est la raison de la sanction de 50 millions d’euros contre Google LLC ?

La sanction de 50 millions d’euros prononcée contre Google LLC par la CNIL a été confirmée par le Conseil d’État en raison de plusieurs manquements graves.

Ces manquements incluent un manque de transparence dans le traitement des données personnelles des utilisateurs, l’absence de collecte d’un consentement éclairé, ainsi que des transferts transfrontaliers de données vers l’Irlande sans désignation d’un chef de file.

Le Conseil d’État a souligné que l’arborescence choisie par Google pour organiser l’information était éparpillée, ce qui nuisait à l’accessibilité et à la clarté des informations pour les utilisateurs.

Cela est particulièrement préoccupant étant donné le caractère intrusif des traitements de données en question, qui impliquent un volume et une nature de données collectées considérables.

Quelles sont les exigences du RGPD concernant la transparence des informations ?

L’article 12 du RGPD stipule que le responsable du traitement doit fournir des informations de manière concise, transparente, compréhensible et aisément accessible.

Les utilisateurs doivent être en mesure de comprendre la portée et les conséquences du traitement de leurs données personnelles. Cela inclut la nécessité d’éviter que les utilisateurs soient pris au dépourvu quant à l’utilisation de leurs données.

Les exigences de concision et de clarté ne doivent pas compromettre l’accès à tous les éléments pertinents relatifs aux finalités et à l’ampleur du traitement.

Google a été critiqué pour avoir fourni des informations excessivement générales, rendant difficile pour les utilisateurs de comprendre l’ampleur des traitements et les implications pour leur vie privée.

Comment Google a-t-il manqué à l’obligation de consentement éclairé ?

Google a été accusé de ne pas recueillir un consentement éclairé de ses utilisateurs. Bien que les utilisateurs soient invités à accepter le traitement de leurs informations, l’information fournie est jugée trop générale et diluée.

Cette information est mélangée avec d’autres finalités qui ne nécessitent pas nécessairement le consentement, ce qui complique la compréhension pour l’utilisateur.

En conséquence, le consentement obtenu ne peut pas être considéré comme éclairé, car il manque d’informations préalables suffisantes.

Cela soulève des préoccupations quant à la validité du consentement, qui est une exigence fondamentale du RGPD pour le traitement des données personnelles.

Pourquoi la CNIL était-elle compétente pour sanctionner Google ?

Google LLC a tenté de faire valoir que la CNIL n’était pas compétente pour engager la procédure de sanction, arguant que Google Ireland Limited devait être considérée comme son établissement principal en Europe.

Cependant, à la date de la sanction, Google Ireland n’exerçait pas de pouvoir de direction ou de contrôle sur les autres filiales européennes.

De plus, cet établissement n’avait pas encore reçu de nouvelles responsabilités concernant les traitements opérés par Google en Europe.

Ainsi, Google LLC, qui déterminait seule les finalités et les moyens des traitements, ne disposait pas d’un établissement principal au sens du RGPD, ce qui a permis à la CNIL d’instruire les plaintes.

Comment la sanction de 50 millions d’euros a-t-elle été jugée proportionnée ?

La sanction de 50 millions d’euros a été considérée comme proportionnée en raison de la gravité des manquements commis par Google.

Les manquements incluent la nature des exigences méconnues, leurs effets sur les utilisateurs, et le caractère continu de ces violations.

La durée pendant laquelle ces manquements ont perduré a également été prise en compte, ainsi que la situation financière de la société.

Les plafonds prévus par l’article 83 du RGPD ont été respectés, ce qui a conduit à la conclusion que la sanction était appropriée et justifiée dans ce contexte.