RGPD : le Conseil d'État valide la sanction Cnil contre Google
Google a échoué à faire annuler l'amende de 50 millions d'euros que la Cnil lui avait infligée début 2019 en vertu d'infractions au RGPD.
Google n'est pas parvenu à faire annuler, par le Conseil d'État, l'amende de 50 millions d'euros que lui a infligée la Cnil.
La sanction était tombée le 14 janvier 2019. Elle concluait une procédure de six mois consécutive à la plainte des associations None of Your Business et La Quadrature du Net. La commission avait épinglé plusieurs manquements au RGPD à travers les traitements de données mis en ouvre dans le cadre du système d'exploitation Android et des services associés.
Google avait attaqué cette décision à plusieurs titres, dont :
- l'incompétence de la Cnil à instruire le dossier ;
- des délais trop courts pour lui permettre de préparer sa défense ;
- une application incorrecte des procédures de coopération et de cohérence prévues par le RGPD ;
- deux erreurs de droit : à avoir considéré, d'une part, un consentement non valablement recueilli et de l'autre, le non-respect d'obligations de transparence et d'information.
Google Irlande, pas un chef de file ?
Sur le premier point, Google prétend que son établissement principal en Europe se situe en Irlande. Et que c'est donc à l'autorité sur place de contrôler ses activités dans l'UE, en vertu du principe de l'autorité du chef de file (article 56 du RGPD).
Le Conseil d'État estime qu'à la date de la sanction, ce principe ne pouvait s'appliquer. Dans son raisonnement, Google Irlande :
- N'exerçait pas de pouvoir de direction ou de contrôle sur les autres filiales européennes du groupe. En tout cas, pas suffisamment pour être considérée comme administration centrale au sens du RGPD.
- Ne s'est vu attribuer de pouvoir décisionnel quant aux finalités et aux moyens des traitements concernés qu'à partir du 22 janvier 2019, soit après la sanction.
Sur la question des délais, les Sages affirment que la société Google « a été mise à même de préparer et de présenter utilement sa défense ». La clôture de l'instruction n'a en l'occurrence été prononcée que deux mois et demi après la transmission, à Google, du rapport proposant une sanction.
En matière d'information et de transparence, Google a retenu une approche à plusieurs niveaux. Le premier se compose des « Règles de confidentialité et conditions d'utilisation ». Il présente la portée et les principales finalités du traitement. Le Conseil d'État le qualifie d'« excessivement général eu égard à l'ampleur des traitements, au degré d'intrusion dans la vie privée qu'ils impliquent et au volume et à la nature des données collectées ».
Autre constat : la difficulté à accéder aux informations essentielles relatives à certains traitements. Illustration sur le sujet de la conservation des données : le lien pour se renseigner n'est disponible qu'à la 68e page du document « Règles de confidentialité ». L'information elle-même est parfois « lacunaire ou insuffisamment précise, y compris dans les derniers niveaux d'information », ajoute le Conseil d'État.
Une information « générale et diluée »
Quant au consentement aux traitements publicitaires, il est jugé, dans les grandes lignes, que l'utilisateur dispose d'une information insuffisante.
Invité à créer un compte Google pour utiliser Android, il se voit présenter, dans le cadre de cette procédure, les « Règles de confidentialité et conditions d'utilisation ». Lesquelles lui présentent les traitements et les données concernées « de façon succincte et très générale », d'après le Conseil d'État.
Lire aussi : RGPD : LinkedIn écope d'une amende de 310 millions €
L'utilisateur peut manifester son consentement dès ce stade. Ou bien cliquer sur un lien « Plus d'options » qui le mène à une page de paramétrage du compte. Une case précochée indique qu'il consent à la publicité personnalisée. ce qui déplaît au Conseil d'État.
Un troisième niveau d'information est disponible en cliquant sur le lien « En savoir plus ». Il apporte des précisions « sans toutefois que cette information soit exhaustive ».
L'utilisateur est toujours invité à signaler son accord, reconnaît le Conseil d'État. Mais l'information dont il dispose est « générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale ».
Photo d'illustration © tanaonte - stock.adobe.com
Sur le même thème
Voir tous les articles Data & IA