[Brèves] Traitement relatif à l’utilisation du système d’exploitation Android : confirmation en demi-teinte de la sanction prononcée par la CNIL contre Google

Réf. : CE, 9° et 10° ch.-r., 19 juin 2020, n° 430810, publié au recueil Lebon (N° Lexbase : A96783NR)

N4205BYE

Lecture 17 minutes

[Brèves] Traitement relatif à l’utilisation du système d’exploitation Android : confirmation en demi-teinte de la sanction prononcée par la CNIL contre Google - par Ludovic Pailler, Professeur agrégé à l’Université Jean Moulin Lyon 3, Membre du Centre de recherche sur le Droit international privé (EDIEC-EA 4185)

par Ludovic Pailler, Professeur agrégé à l’Université Jean Moulin Lyon 3, Membre du Centre de recherche sur le Droit international privé (EDIEC-EA 4185), le 22-07-2020


Mots-clés : règlement général sur la protection des données • traitement transfrontalier • compétence de l’autorité de contrôle • notion d’établissement principal • coopération et cohérence • principes de transparence et d’information • ergonomie • principe de licéité • notion de consentement • notion de consentement • acte positif clair • caractère spécifique

Par un arrêt du 12 juin 2020, le Conseil d’État confirme la sanction prononcée par la Commission nationale de l’informatique et des libertés contre Google LLC. En effet, celle-ci était bien compétente pour statuer en l’absence d’établissement principal du responsable de traitement sur le territoire d’un autre État membre. Et ce dernier a manqué aux principes de transparence et d’information par des choix ergonomiques nuisible à la clarté et à l’accessibilité ainsi qu’aux règles relatives au consentement pour les traitements aux fins de personnalisation de la publicité par son système d’acceptation en raison d’une information déficiente et du recours aux cases précochées. Cependant, l’arrêt, parce qu’il est minimal, déçoit les attentes eu égard aux questions qu’il laisse en suspens.


La responsabilisation des GAFA dans le traitement massif des données qu’ils opèrent est en bonne marche. Alors que les juridictions judiciaires épouillent leurs conditions d’utilisation et politiques de confidentialité pour en expurger les clauses abusives [1], la CNIL, approuvée en cela par le Conseil d’État, les met au pied du mur : de grands traitements impliquent de grandes responsabilités [2].

Le signal envoyé, qui tient moins à la sanction par elle-même qu’à ses motifs, est particulièrement fort au regard des pratiques. Il est à mettre au crédit des associations autrichienne None Of Your Business et française La Quadrature du Net. À peine le « RGPD »  (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) était-il entré en vigueur, qu’elles déposaient devant la CNIL deux plaintes collectives contre Google qui regroupent les réclamations de 9 974 personnes. Est visé le traitement de données relatif au système d’exploitation des terminaux mobiles Android incluant la création d’un compte Google. La première des associations reprochait aux sociétés Google LLC, établie en Californie, et Google SARL, établie en France, de ne permettre l’utilisation du terminal qu’après acceptation en bloc de la politique de confidentialité et des conditions générales d’utilisation des services Google. Quant à la seconde, elle prétendait que Google ne pouvait licitement mettre en œuvre des traitements de données aux fins d’analyse comportementale et de ciblage publicitaire, indépendamment du terminal utilisé par la personne concernée.

Ces plaintes menèrent au prononcé d’une sanction historique à l’encontre de la société Google qui sonne plus largement comme une injonction faite aux responsables de traitement de se conformer strictement au « RGPD ». Après une vérification effectuée par son secrétaire général, la formation restreinte de la CNIL, par une délibération du 21 janvier 2019, a prononcé, dans des termes durs mais lucides, une amende égale au montant proposé par son rapporteur, 50 millions d’euros, et une sanction complémentaire de publicité de la délibération avant anonymisation au terme d’un délai de deux ans [3]. Le « volontarisme » [4] de la CNIL transparaît des termes de sa décision. Elle y stigmatise « un défaut global d’accessibilité des informations », « un défaut de clarté et de caractère compréhensible » de l’information délivrée aux utilisateurs, par ailleurs insuffisante. À cela s’ajoute, et non sans lien, un traitement illicite aux fins de personnalisation de la publicité à défaut pour le consentement invoqué par Google d’être suffisamment éclairé et de procéder d’un acte positif spécifique et univoque. En somme, la sanction est justifiée par « des atteintes substantielles à la protection de la vie privée ».

Comme attendu, la société Google LLC déposa une requête aux fins d’annulation de la délibération du 21 janvier 2019 et, à titre subsidiaire, aux fins que soient posées deux questions préjudicielles à la Cour de justice relatives à la notion d’établissement principal et aux modalités de consentement à un traitement comportant plusieurs finalités.

Il est regrettable que le Conseil d’État n’ait pas jugé nécessaire d’en appeler à la Cour de justice. Par son arrêt du 12 juin 2020, il rejette la requête en annulation après avoir balayé les différents griefs formulés par la société Google LLC. Les questions de respect des droits de la défense et de motivation seront exclues du présent commentaire à défaut d’être spécifiques aux questions de protection des données et de susciter une difficulté particulière. Mais pour ces questions, comme pour les autres, la Haute juridiction administrative valide, à titre général, les analyses et les conclusions de la CNIL. Toutefois et à titre particulier, elle laisse en suspens des questions importantes sur la compétence de l’autorité de contrôle française (I) et les manquements de Google aux principes de protection des données (II). Ainsi persistent des incertitudes qui nuisent aux opérateurs économiques comme aux personnes concernées, et plus largement à la vigueur du signal émis par la CNIL.

I. La compétence de la CNIL

Dans sa requête, Google invoquait l’incompétence de la CNIL, à défaut d’avoir identifié sa société irlandaise, qualifiée par la requérante de « siège social » de ses opérations européennes, à son établissement principal dans l’Union. Corrélativement, Google reprochait encore à la CNIL d’avoir manqué aux procédures de coopération et de cohérence pour lesquelles l’autorité irlandaise aurait dû être l’autorité chef de file. Il s’agissait en pratique d’échapper à la détermination de l’autorité française et de profiter du débordement et du désengagement d’alors [5] du Data Protection Commissioner irlandais. En effet, lorsqu’un traitement de données est transfrontalier, parce qu’il a en l’occurrence lieu dans le cadre des activités d’établissements dans plusieurs États membres et que son responsable est établi dans plusieurs États membres [6], ce dernier peut bénéficier du « mécanisme du guichet unique » [7]. L’intérêt de ce mécanisme est, pour le responsable de traitement, de n’avoir qu’un seul interlocuteur, l’autorité de contrôle chef de file [8], au lieu d’en avoir autant que d’États membres concernés, sauf l’hypothèse, non rencontrée ici, où la violation considérée concerne un unique établissement dans un État membre ou n’affecte sensiblement que les personnes concernées dans cet État membre [9]. Encore est-il requis, pour ce faire, que le responsable de traitement dispose d’un établissement principal sur le territoire d’un État membre [10].

Cette notion est définie par l’article 4, 16° du « RGPD ». Ce dernier prévoit, pour le cas où le responsable de traitement serait établi dans plusieurs États membres, que son établissement principal est au lieu de « son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal ». La lettre du texte est pour le moins ambiguë [11]. Elle n’écarte pas à elle seule l’argumentation de Google selon laquelle en l’absence de centre de décision dans un État membre autre que celui de son administration centrale, le lieu de cette dernière constitue l’établissement central sans autre preuve à rapporter. Mais, selon la CNIL, qui s’appuie sur le considérant 36 du « RGPD » et surtout [12] sur un passage choisi des lignes directrices du Comité européen de la protection des données sur la notion d’autorité chef de file [13], la notion d’établissement principal suppose que l’administration centrale considérée dispose d’un pouvoir décisionnel sur les finalités et les moyens du traitement. Cela revient à localiser le responsable de traitement. Or, l’assimilation des notions d’établissement principal et de responsable de traitement n’est pas si évidente qu’elle n’y paraît dès lors qu’elles sont définies distinctement par le « RGPD ».

Le Conseil d’État ne tranche pas cette question, pourtant centrale dans la requête, et laisse dans le doute la nécessité de démontrer que l’établissement où se situe l’administration centrale dispose du pouvoir de déterminer les moyens et finalités du traitement pour être qualifié d’établissement principal. Pas plus il ne prend parti sur la suggestion des lignes directrices précités au regard de circonstances comparables qui indiquaient la possibilité de « désigner en tant qu’établissement principal l’établissement qui est habilité à faire appliquer les décisions relatives à l’activité de traitement et assumer la responsabilité de ce traitement » [14]. Cette interprétation de la notion d’administration centrale n’aurait pu être retenue sans procéder préalablement à un renvoi préjudiciel en interprétation.

Après avoir repris en substance les termes du « RGPD », le Conseil d’État énonce que « dans l’hypothèse où un responsable de traitement implantée en dehors de l’Union européenne met en œuvre un traitement transfrontalier sur le territoire de l’Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens », le mécanisme du guichet unique ne peut être mis en œuvre. Ainsi la Haute juridiction administrative se contente-t-elle de livrer les critères de l’absence d’établissement principal puisque les circonstances ne la contraignent pas à plus.

Au cas d’espèce, la société Google Ireland ne peut pas être qualifiée d’administration centrale à défaut pour elle de disposer d’un pouvoir de direction ou de contrôle sur les autres filiales de la société Google LLC. Par ailleurs, comme Google LLC déterminait seule les finalités et les moyens du traitement, la filiale irlandaise ne disposait d’aucun pouvoir décisionnel au jour où la décision de la CNIL a été rendue, soit la veille du jour où elle s’est vue attribuée de nouvelles responsabilités s’agissant des traitements opérés par Google en Europe. En l’absence d’établissement principal, la CNIL était donc compétente pour les seuls utilisateurs situés en France [15], ce qui vidait, dans le même temps, l’invocation du principe non bis in idem de son objet. Par ailleurs, la CNIL avait épuisé les exigences de coopération avec les autres autorités de contrôle en diffusant une information et en consultant ses homologues sur l’existence d’une autorité de contrôle chef de file ainsi que sur les investigations qu’elle a menées sans objection de leur part.

L’habileté de la CNIL dans la maîtrise du calendrier lui aura permis d’asseoir sa compétence au détriment de la notion d’établissement principal que le Conseil d’État s’est contenté d’interpréter négativement. C’est regrettable car aujourd’hui, la société Google Ireland disposant d’un pouvoir de décision dont l’ampleur reste à déterminer, sa qualité d’établissement principal au sens du « RGPD » demeure incertaine [16]. Si l’on peut regretter que cette problématique n’ait pas été réglée à l’échelle de l’Union pour éviter les discordances, la décision de la CNIL comme celle du Conseil d’État devrait encourager les responsables de traitement transfrontaliers, et plus particulièrement ceux principalement établis hors de l’Union européenne, à revoir leur organisation pour établir sur le territoire d’un État membre un centre décisionnel unique afin de bénéficier de l’économie d’échelle induit par le mécanisme de guichet unique [17]. C’est d’autant plus nécessaire que le transfert de données personnelles vers les États-Unis a été rendu plus difficile par l’invalidation de la décision « Bouclier de protection des données » [18].

Le regret qu’inspire la stratégie de la CNIL pour établir sa compétence est en partie compensé par son opportunité non seulement au regard de l’inertie de ses homologues et du Comité européen de la protection des données, mais encore au regard de sa décision au fond, confirmée par le Conseil d’État. Au cas d’espèce, le jeu en valait la chandelle.

II. Les manquements de Google aux principes de protection des données

Les analyses de la CNIL sont confirmées pour l’essentiel. Au titre des manquements aux obligations d’information et de transparence, le Conseil d’État rappelle que les articles 12 et 13 du « RGPD » impliquent que la personne concernée doit pouvoir déterminer à l’avance la portée et les conséquences du traitement et que tous les éléments relatifs aux finalités et à l’ampleur du traitement doivent être aisément accessibles. Il confirme également que cette information ne doit pas être « excessivement détaillée afin de ne pas décourager l’utilisateur d’en prendre connaissance » [19]. Ainsi déduit-il des motifs repris en substance de la délibération de la CNIL que « l’arborescence choisie par Google apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées » [20]. Ce faisant, il conforte en creux la validité de principe d’une information à tiroir recommandé par le Comité européen de protection des données [21] tout en condamnant sa mise en œuvre au regard du lien établi par la CNIL entre le degré d’information requis et l’atteinte portée par le traitement aux droits et libertés de l’utilisateur.

Les termes dans lesquels sont confirmés les manquements aux règles relatives au consentement pour fonder, au titre de l’article 6, a, du « RGPD », la licéité des traitements aux fins de personnalisation de la publicité ne sont guère plus amènes. Le consentement doit être libre, spécifique, éclairé et univoque [22]. Le Conseil d’État rappelle à cet égard le dit pour droit de l’arrêt « Planet49 » [23] qui exclut que le consentement puisse être donné au moyen d’une case cochée par défaut. Il ajoute que l’acceptation globale de conditions générales ne permet pas un consentement spécifique et l’exigence d’une information préalable, claire et distincte de l’ensemble des finalités poursuivies par le traitement. Or, l’information fournie au premier niveau à l’utilisateur « est générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale ». De même, l’information de second niveau, obtenue après avoir cliqué aux fins d’avoir plus de renseignements, est jugée insuffisante, impropre à éclairer le consentement. S’ajoute le système d’opt out incompatible avec le « RGPD ». Ce faisant, le Conseil d’État valide de nouveau le recours à plusieurs niveaux d’information. Par ailleurs, il rejette également les griefs d’interprétation incohérente des textes allégués au moyen de délibérations inapplicables ratione temporis et d’instauration d’un régime plus protecteur du consentement que celui requis par le « RGPD », la CNIL ayant donné effet, comme il convenait, à l’article 4, 16° du « RGPD ». Certes, il ne s’agit que de condamner le recours aux cases cochées par défaut sans imposer un système de case à cocher puisque le Règlement paraît ouvrir plusieurs modalités de recueil du consentement [24]. Toutefois, le critère de choix entre elles demeure incertain : le caractère massif et intrusif du traitement justifie-t-il d’imposer le recours à des cases à cocher auquel il est reproché de se confondre avec l’exigence de consentement explicite pour le traitement de données sensibles [25] ? Quoi qu’il en soit, les responsables de traitement sont contraints de se conformer à l’exigence plus générale d’un acte positif clair, qui seul permet valablement de recueillir le consentement, sauf à devoir abandonner leur modèle économique fondée sur la publicité ciblée. En effet, ils ne peuvent valablement fonder la licéité de ce traitement sur un autre fondement que le consentement à défaut pour celui-ci d’être nécessaire à l’exécution du contrat auquel la personne concernée est partie [26] ou de poursuivre un intérêt légitime qui primerait les droits et libertés de la personne concernée [27].

Au-delà de ces confirmations, le Conseil d’État, dans ses réponses aux moyens soulevés par Google, apporte une précision sur le rôle de la formation restreinte de la CNIL et évince un moyen qui aurait nécessité d’interroger la Cour de justice.

Au titre de la précision, et à propos de chacun des manquements, la Haute juridiction énonce qu’il n’appartient pas à la formation restreinte d’indiquer les mesures à prendre[28] ou de définir les obligations les obligations de la société requérante lesquelles découlent du « RGPD » [29]. En apparence, il pourrait ne s’agir que d’un rappel des missions de la formation restreinte en réponse aux moyens. Dans cette formation [30], la CNIL ne peut que prendre les mesures et prononcer les sanctions à l’encontre des responsables de traitement qui manquent aux obligations imposées par le « RGPD » [31]. Elle ne saurait ajouter au texte dont elle assure la sanction ni assister un requérant qui, comme les autres acteurs du secteur, est en mal de solutions ergonomiques compatibles avec le « RGPD » compte tenu de l’ampleur et de la sophistication du traitement qu’il met en œuvre [32]. D’autres supports sont disponibles à cette fin [33]. Mais, en creux, cette réponse au moyen pourrait également s’adresser à la formation restreinte qui, dans sa délibération, a excédé son office en indiquant comment conformer au « RGPD » un consentement mutualisé à différentes finalités proches d’un même traitement.

C’est d’ailleurs sur ce point que le Conseil d’État a évincé le moyen qui était au cœur de la seconde question préjudicielle suggérée par Google. Il retient qu’est sans incidence sur le constat de manquement aux exigences du « RGPD » relatives au consentement « la circonstance alléguée que ce Règlement n’impose pas de recueillir le consentement de manière distincte pour la finalité de ciblage publicitaire » [34]. Il laisse ainsi en suspens une question à laquelle la formation restreinte de la CNIL s’était efforcée de répondre, à défaut pour le « RGPD » d’être clair sur ce point [35]. Dans le prolongement des lignes directrices relatives au consentement [36], l’autorité de contrôle française retient que le consentement doit être spécifique à chaque finalité distincte, en l’occurrence spécifique à la personnalisation des services. La spécificité devait ainsi être distinguée de l’univocité, de sorte que la condamnation de Google par la CNIL au titre de l’acceptation en bloc des conditions générales et, ce faisant, de l’ensemble des traitements de données que cette dernière société met en œuvre n’est pas pleinement confirmée. C’est pourtant une question cruciale. Contraindre à recueillir un consentement au moyen d’un acte positif clair pour chaque finalité distincte, comme cela apparaît le plus conforme au « RGPD » et aux droits et libertés de la personne concernée, obligerait certainement à repenser l’offre de services pseudo-gratuits pour l’hybrider [37].

En conclusion, il est regrettable que le Conseil d’État n’ait pas été inspiré du volontarisme de la CNIL. Certes, il en confirme la délibération. Mais il procède a minima pour ne pas procéder à un renvoi préjudiciel qui aurait été justifié sur différents points qui manquent de clarté. Ainsi la toile des dispositions du « RGPD » demeure-t-elle un clair-obscur quand des atteintes massives et intrusives se perpétuent et se renouvellent.


[1] V. par ex., TGI Paris, 7 août 2018, n° 14/07300 (N° Lexbase : A3709X3R), JCP G, 2018, 1046, obs. G. Raymond.

[2] Librement inspiré du leitmotiv des bandes dessinées consacrées à Spiderman (crée par S. Lee et S. Ditko pour l’éditeur Marvel, 1962)

[3] CNIL, délibération n° SAN-2019-00, 21 janvier 2019 (N° Lexbase : X0990BDZ) prononçant une sanction pécuniaire à l’encontre de la société Google LLC ; Dalloz actualité, 30 janvier 2019, obs. O. Tambou ; Dalloz IP/IT, 2019, p. 165, note E. Netter ; JCP E, 2019, 1059, obs. J. Deroulez ; CCE, 2019, comm. 35 et 43, note N. Metallinos.

[4] E. Netter, loc. cit..

[5] Depuis, cette autorité semble s’être reprise. Son renvoi préjudiciel est à l’origine de l’arrêt de Grande chambre de la Cour de justice du 16 juillet 2020 qui invalide la décision de la Commission relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis (CJUE, 16 juillet 2020, aff. C-311/18 N° Lexbase : A26443RD, arrêt « Schrems III »).

[6] « RGPD », art. 4, 23°, a.

[7] « RGPD », cons. 127.

[8] « RGPD », art. 56.6.

[9] « RGPD », art. 56.2.

[10] « RGPD », art. 56.1.

[11] Comp. considérant qu’il « signifie nécessairement que l’administration centrale ne se définit pas comme le lieu où l’on prend de telles décisions », E. Neter, loc. cit..

[12] La formule de ce considérant (« l’établissement principal […] devrait supposer l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement ») n’est pas plus éclairante que le texte de l’article 4, 16° du « RGPD » (v., sur ce point, E. Netter, loc. cit.).

[13] Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant, adoptées le 13 décembre 2016, version révisée et adoptée le 5 avril 2017, Groupe de travail « article 29 » sur la protection des données, p. 5 et s. [en ligne].

[14] Lignes directrices, loc. cit., p. 9.

[15] « RGPD », art. 55.1.

[16] Comp., qualifiant la société Google Ireland d’établissement principal en sa qualité de responsable du traitement des données des utilisateurs et lui déniant cette qualité pour les traitements correspondants à l’exploration, l’indexation et la sélection des résultats de recherche : Autorité belge de protection des données, ch. contentieuse, déc. quant au fond, 37/2020 du 14 juillet 2020, points. 24 et s..

[17] Comp., O. Tambou, Manuel de droit européen de la protection des données à caractère personnel, Bruylant, 2020, n° 410.

[18] CJUE, 16 juillet 2020, aff. C-311/18, préc..

[19] Cons. 15.

[20] Cons. 20.

[21] Lignes directrices sur la transparence au sens du Règlement (UE) n° 2016/679, Groupe de travail « Article 29 » sur la protection des données, adoptées le 29 novembre 2017, version révisée et adoptée le 11 avril 2018, n° 39 [en ligne] .

[22] « RGPD », art. 4, 11°.

[23] CJUE, 1er octobre 2019, aff. C-673/17 (N° Lexbase : A1226ZQH), CCE, 2020, étude 2, note R. Perray et H. Adda ; D., 2019, p. 2128, entretien J.-L. Sauron ; Dalloz IP/IT, 2020, p. 189, obs. F. Coupez et G. Péronne ; Europe 2019, comm. 492, obs. F. Péraldi-Leneuf, Légipresse, 2019, p. 524 et 694, étude C. Thiérache et A. Gautron.

[24] Cons. 32.

[25] « RGPD », art. 9.2, a.

[26] V. sur cette interprétation de l’article 6.1, b, lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l’article 6, paragraphe 1, point b), du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées, Comité européen de la protection des données, adoptées le 8 octobre 2019, n° 53 [en ligne].

[27] « RGPD », art. 6.1, f.

[28] Cons. 20.

[29] Cons. 23.

[30] L’article 8 de la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS), donne notamment à la CNIL la mission d’informer de façon adaptée les petites et moyennes entreprises ou encore d’établir et publier des lignes directrices, recommandations ou référentiels.

[31] Loi n° 78-17, art. 16, al. 1er.

[32] V. déjà, pour une difficulté d’accès aux informations fournies par Google en raison de leur éparpillement, CNIL, délibération n° 2013-420, 3 janvier 2014 (N° Lexbase : X4401AMX).

[33] Les lignes directrices de la CNIL et du Comité européen de la protection des données, les recommandations et référentiels de la CNIL ou encore l’une des publications de son laboratoire d’innovation numérique relative à la forme des choix (La forme des choix. Données personnelles, design et frictions désirables, Cahiers IP n° 6, janvier 2019 [en ligne]).

[34] Cons. 23.

[35] Le 32ème considérant ne pallie pas le silence du dispositif du « RGPD » puisqu’il indique simplement que « lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles ».

[36] Lignes directrices sur le consentement au sens du Règlement 2016/679, Groupe de travail « Article 29 » sur la protection des données, adoptées le 28 novembre 2017, version révisée et adoptée le 10 avril 2018, préc., p. 13-14 ; Guidelines 5/2020 on consent under Regulation 2016/679, Comité européen de la protection des données, adoptées le 4 mai 2020, n° 60 [en ligne] (en anglais).

[37] V. déjà, E Netter, loc. cit..

newsid:474205

Vos notes

add
Ajouter une nouvelle note

Tous les numéros