[Brèves] Protection des données : Le Conseil d’État rejette le recours dirigé contre la sanction de 50 millions d’euros infligée à Google par la CNIL

► Google n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires ; la sanction de 50 millions d’euros infligée par la CNIL n’est pas disproportionnée.

Tel est le sens d’un arrêt rendu par le Conseil d’État le 19 juin 2020 (CE, 9° et 10° ch.-r., 19 juin 2020, n° 430810, publié au recueil Lebon N° Lexbase : A96783NR).

Contexte. À la suite de plaintes déposées par deux associations en mai 2018, la CNIL a procédé à des investigations relatives aux traitements de données personnelles effectués par Google. Elle a ainsi analysé le parcours d’un utilisateur lors de la création d’un compte Google à partir d’un téléphone fonctionnant avec le système d’exploitation Android.

Sur la base de ces investigations, la CNIL a principalement retenu deux manquements au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) :

• tout d’abord, la CNIL a considéré que les informations fournies à l’utilisateur au moment de la création d’un compte n’étaient pas toujours claires et facilement accessibles. En particulier, elle a relevé que des informations essentielles (sur les finalités, les durées de conservation ou les catégories de données pour la personnalisation de la publicité) étaient éparpillées sur plusieurs pages et que l’utilisateur devait parfois accomplir jusqu’à six actions pour y accéder. Elle a, en outre, relevé que les informations mises à disposition par Google étaient rédigées de façon trop vague, ce qui ne permettait pas aux utilisateurs de comprendre l’ampleur du traitement effectué par Google. La CNIL a en effet souligné que les données des utilisateurs étaient collectées à partir de nombreux services tels que Gmail, Google Maps ou YouTube, ce qui avait pour effet de rendre le traitement massif et intrusif ;
• ensuite, la CNIL a estimé que le consentement des utilisateurs n’était pas valablement recueilli pour le traitement relatif à la personnalisation de la publicité. Elle a en effet relevé que le recueil du consentement se faisait au moyen d’une case précochée par défaut, ce qui n’était pas conforme aux exigences du « RGPD ».

C’est ainsi que la CNIL prononçait une amende de 50 millions d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité (CNIL, délibération n° SAN 2019-001, 21 janvier 2019 N° Lexbase : X0990BDZ ; lire N° Lexbase : N7729BXK et N° Lexbase : N7299BXM).

Saisi par Google d’une requête pour invalider celle-ci, le Conseil d’État, dans sa décision du 19 juin 2020, a validé la décision de la CNIL. Il confirme ainsi une juste application des principes clés du « RGPD »

Un manquement aux obligations de transparence et d’information. Le Conseil d’État confirme l’appréciation portée par la CNIL sur l’information mise à disposition des utilisateurs d’Android par Google concernant le traitement de leurs données. Il considère que son organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité requises par le « RGPD », alors même que les traitements en cause sont particulièrement intrusifs par leur nombre et la nature des données collectées. Il relève en outre que l’information disponible est parfois lacunaire, notamment s’agissant de la durée de conservation des données et des finalités des différents traitements opérés par Google.

Ainsi, Google a manqué à ses obligations d’information et de transparence.

Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité. Le Conseil d’État relève que l’utilisateur qui souhaite créer un compte Google pour utiliser le système Android est d’abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité. L’information sur le ciblage publicitaire qui lui est fournie à cette étape est générale et diluée au milieu d’informations relatives à d’autres finalités. Alors que le recueil du consentement est, à ce premier niveau, effectué de manière globale pour l’ensemble des finalités poursuivies par le traitement des données, le Conseil d’État confirme l’appréciation de la CNIL selon laquelle l’information relative au ciblage publicitaire n’est pas présentée de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement recueilli.  

Après avoir relevé que l’utilisateur peut obtenir une information complémentaire sur le ciblage publicitaire en cliquant sur un lien « plus d’options », et qu’il est alors invité à donner un consentement spécifique à cette finalité, le Conseil d’État estime que l’information fournie à ce deuxième niveau par Google est, là encore, insuffisante. Par ailleurs, le consentement y est recueilli au moyen d’une case pré-cochée, ce qui ne répond pas aux exigences du « RGPD ».

Ainsi, Google ne met pas l’utilisateur à même de donner un consentement libre et éclairé au traitement de ses données aux fins de personnalisation de la publicité.

Sanction. Compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le « RGPD » ainsi que de la situation financière de la société Google LLC, le Conseil d’État juge que la sanction de 50 millions d’euros prononcée par la CNIL n’est pas disproportionnée.

Le Conseil d’État confirme par ailleurs que la CNIL était compétente pour prononcer la sanction. Google estimait que l’autorité de protection des données irlandaise était seule compétente pour contrôler ses activités dans l’Union européenne, le contrôle du traitement des données revenant à l’autorité du pays où le principal établissement du responsable du traitement des données est situé, selon un principe de « guichet unique » institué par le « RGPD ». Le Conseil d’État relève toutefois qu’à la date de la sanction, la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur les traitements de données, la société Google LLC implantée aux États-Unis détenant seule ce pouvoir. Le système du guichet unique n’était pas donc applicable et la CNIL était compétente pour sanctionner les manquements de Google relatifs au traitement des données des utilisateurs français d’Android.

La sanction infligée par la CNIL à Google reste, encore à ce jour, la plus importante en Europe décidée par les autorités de protection de données.

© Reproduction interdite, sauf autorisation écrite préalable