Réflexions sur la sanction de la CNIL prononcée contre Google LLC (Délibération n° SAN-2019-001 du 21 janvier 2019).

Avec la parution du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 modifiée, le dispositif de droit interne destiné à accompagner et compléter la mise en place du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (dit RGPD) est aujourd’hui achevé.

Il aura toutefois fallu moins d’un an depuis sa date d’entrée en application effective au 25 mai 2018, pour que la CNIL prenne une sanction significative à l’encontre de Google. Significative à plusieurs titres, d’une part, par l’ampleur de l’amende administrative prononcée : 50 millions d’euros, et d’autre part, par l’étendue du rappel opéré au regard des principes qui, dorénavant, doivent présider à toute utilisation de données à caractère personnel.

A l’ère de la numérisation du monde, le RGPD traduit la réponse de l’Union européenne – qui n’est ni technologique, ni économique, mais d’ordre normatif – à la toute puissance mondiale des GAFAM. Face à des acteurs internationaux, on pouvait craindre qu’il serve seulement d’épouvantail, tant on pouvait penser que le caractère extraordinaire des amendes (pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les sanctions les plus graves, le montant le plus élevé étant retenu) n’aurait qu’une fonction dissuasive sans jamais être appliqué.

Tel n’a pas été le cas dans la délibération CNIL n° SAN-2019-001 du 21 janvier 2019, où la formation restreinte de la CNIL, en tant qu’autorité de contrôle, a choisi de faire application des sanctions les plus importantes à sa disposition en condamnant Google à un montant record.

Un recours a certes été déposé devant le Conseil d’Etat contre cette décision (extrêmement motivée) de la CNIL. Néanmoins, dans l’attente de la position de la Haute juridiction administrative, force est de relever que le RGPD n’est pas un simple guide de bonne conduite pouvant être décliné avec plus ou moins de souplesse en fonction du niveau maturité de chacun des opérateurs. Tout au contraire, il doit être regardé comme un dispositif non seulement contraignant mais aussi complexe à mettre en œuvre. A ce titre, si le RGPD en tant que nouvelle réglementation n’en est encore qu’à ses débuts , il implique un véritable changement des mentalités et des comportements des entreprises dans la gestion et l’utilisation des données personnelles qu’elles récoltent. Ce changement doit s’opérer notamment en matière d’approche commerciale ou marketing où l’attention des responsables de traitements doit être la plus forte lorsque le consentement constitue la principale base juridique des traitements mis en œuvre.

Cette prise de conscience, réalisée au moins chez la majeure partie des grands Groupes et acteurs économiques (dont l’acmé s’est située à la veille du 25 mai 2018) est aujourd’hui remise sur le devant de la scène par l’action de contrôle de la CNIL. Les sanctions prises valent piqures de rappel d’autant plus que la CNIL laisse clairement entendre sur son site Internet que la phase de transition qui a suivi l’année de prise d’effet du RGPD est désormais achevée.

La délibération de la CNIL n° SAN-2019-001 du 21 janvier 2019 constitue ainsi un véritable mode d’emploi du RGPD à l’attention de l’ensemble des acteurs qui manipulent (au sens technique du terme et sans sous-entendu péjoratif) des données personnelles.

Cette décision est exemplaire tant elle renseigne sur les modalités de mise en œuvre de la nouvelle réglementation européenne. Elle l’est tout d’abord par l’entreprise visée, Google LLC, société de droit américain basée aux Etats-Unis et qui, malgré une présence en Irlande et une filiale en France, a été considérée comme sans représentation sur le territoire européen, confirmant ainsi l’autorité de contrôle française, c’est-à-dire la CNIL, comme autorité compétente (I) ; elle l’est ensuite par le rappel opéré quant à l’importance des principes fondamentaux du RGPD, notamment ceux de transparence et d’information des personnes concernées, principes dont la mise en œuvre doit être proportionnée à l’ampleur des traitements (II).
La CNIL n’a pas manqué de souligner à cet égard que le système d’exploitation mis en place par Google LLC concernait en France, en 2016, 27 millions d’utilisateurs. Enfin, cette décision est exemplaire en ce qu’elle précise, de façon plus pédagogique, les caractéristiques essentielles du consentement lorsqu’il constitue la base juridique du traitement (III).

I. Sur l’autorité compétente en l’absence de représentation sur le territoire européen.

Le RGPD a une double portée, européenne évidemment, mais il a aussi une portée internationale. Il s’applique en effet à toute organisation, publique ou privée, qui traite des données personnelles pour son propre compte ou pour le compte d’autrui (sous-traitant), dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Les faits : les 25 et 28 mai 2018, la CNIL recevait la plainte collective de deux associations (None Of Your Business ou « NOYB » et La Quadrature du Net ou « LQDN ») regroupant plusieurs milliers de personnes, aux motifs :
 d’une part, que les utilisateurs de téléphones ou de tablettes mobiles sous système Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google, étant précisé qu’à défaut d’une telle acceptation, ils ne pourraient utiliser leur terminal ;
 d’autre part, que, indépendamment du terminal utilisé, Google ne dispose pas de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire.

Après avoir interrogé ses homologues européens sur la désignation d’une éventuelle autorité de contrôle chef de file, la CNIL déclenchait un contrôle en ligne le 21 septembre 2018, afin de vérifier la conformité des traitements mis en œuvre par Google, et notifiait son procès-verbal de contrôle aux sociétés Google LLC et Google France SARL, les 24 et 25 septembre 2018.

Au vu de celui-ci, le rapporteur désigné a conclu à la constatation de plusieurs manquements relatifs aux articles 6, 12 et 13 du RGPD et proposé à la formation restreinte de la CNIL de prononcer une sanction pécuniaire de 50 millions d’euros et de la rendre publique.

1.1 – Traitements transfrontaliers et détermination de l’autorité de contrôle compétente : l’autorité chef de file, principe et dérogation.

La première question soulevée par la décision de la CNIL portait sur sa compétence, en tant qu’autorité chef de file.

Selon les articles 54, 55 et 57 du RGPD, chaque Etat membre dispose de sa propre autorité de contrôle et chacune de ces autorités nationales est compétente pour exercer les missions et pouvoirs dont elle est investie sur le territoire de l’Etat dont elle relève. Autrement dit, la CNIL est compétente sur le territoire français comme le sont les autres autorités de contrôle nationales dans le ressort de leur propre Etat. Il s’agit en quelque sorte d’un principe de subsidiarité qui vise à placer les organismes ayant leur « établissement principal » dans un Etat membre sous l’autorité de contrôle relevant dudit Etat (mécanisme du « guichet unique »).

En outre, les autorités de contrôle nationales ont compétence exclusive pour examiner tout traitement dont la licéité repose soit sur le respect d’une obligation légale de leur Etat membre, soit sur l’exécution d’une mission d’intérêt public ou tirée de l’exercice de l’autorité publique de cet Etat (cf. art. 56, § 2 et 6, § 1, c) et e)) .

Mais hormis ces cas, le RGPD ayant une vocation extraterritoriale, dans l’hypothèse d’un traitement transfrontalier, il importe de désigner une autorité « chef de file » qui, selon l’article 56 du RGPD, est déterminée en fonction de plusieurs critères.

En principe, lorsque la réclamation concerne un responsable de traitement dont « l’établissement principal » ou « l’établissement unique » est placé sous la compétence de l’autorité de contrôle nationale dépendant du territoire où il est implanté, c’est cette dernière qui a compétence pour agir en qualité d’autorité chef de file, y compris dans le cadre d’un traitement transfrontalier.

Par défaut, l’autorité de contrôle chef de file est celle du ressort d’implantation de l’établissement principal. Cependant, et par dérogation expresse du texte, chacune des autorités de contrôle (nationales) est également compétente quand elle a été saisie d’une plainte ou d’une éventuelle violation du RGPD, et :
 à condition que son objet concerne uniquement un établissement dans l’Etat membre dont elle relève,
 ou encore, à condition que la plainte ou la violation affecte sensiblement des personnes physiques relevant de cet Etat membre uniquement.

Il est ainsi possible que plusieurs autorités de contrôle soient compétentes en même temps. En cas de concurrence entre une autorité de contrôle (nationale) saisie d’une plainte et une autorité chef de file (ou naturelle), les articles 56 et 60 du RGPD prévoient une procédure d’information et de coopération visant soit à décliner soit à confirmer la compétence de l’une ou de l’autre.

1.2 - Compétence de la CNIL en absence d’établissement principal sur le territoire de l’Union européenne.

Au cas d’espèce, Google LLC soutenait l’incompétence de la CNIL au profit de l’autorité de protection des données irlandaise en qualité d’autorité de contrôle chef de file. S’agissant en effet de traitements par nature transfrontaliers, Google LLC arguait du fait que la société Google Ireland Limited constituait son « établissement principal » au sein de l’Union Européenne.

La CNIL a balayé cet argument, en considérant que l’existence d’un « établissement principal » suppose l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement. Or ces éléments doivent s’apprécier in concreto, au regard de critères objectifs. La CNIL précise à ce titre que l’établissement principal ne correspond pas automatiquement au siège social de l’entreprise en Europe s’il ressort que ce lieu ne n’est pas celui où se prennent les décisions propres à la mise en œuvre du traitement.

Se fondant sur plusieurs indices matériels, la CNIL a estimé en l’occurrence que la société Google Ireland Limited, malgré l’importance de ses moyens humains et financiers, n’était en définitive qu’un simple exécutant qui ne disposait pas réellement d’un pouvoir décisionnel, pas plus concernant les finalités que les moyens des traitements présentés aux utilisateurs .

Dès lors, en l’absence « d’établissement principal » permettant l’identification d’une autorité de contrôle chef de file, la CNIL a confirmé sa compétence pour engager la procédure et exercer l’ensemble des pouvoirs que lui octroi l’article 58 du RGPD. Elle a ainsi pu relever plusieurs manquements aux principes phares du RGPD, au frontispice duquel figurent les principes de « licéité, loyauté et transparence » (cf. art. 5).

II. Sur les manquements aux obligations de transparence et d’information.

En premier point, la formation restreinte de la CNIL a estimé, suivant en cela son rapporteur, que les informations diffusées aux utilisateurs ne répondaient pas aux objectifs d’accessibilité, de clarté et de compréhension fixés par l’article 12 du RGPD. De plus, elle a constaté que certaines informations devant être communiquées au moment de la collecte de données, imposées par l’article 13 du RGPD, n’étaient pas fournies.

2.1 - Des informations minimales à porter à la connaissance des personnes concernées.

La CNIL souligne tout d’abord le § 1 de l’article 12 du RGPD, selon lequel :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »

Puis elle rappelle le § 1 de l’article 13 du RGPD, lequel concerne le cas des données collectées directement auprès de la personne concernée, qui prévoit que :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et
f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ; »

La liste est longue, d’autant que ces informations a minima doivent être complétées par celles prévues au § 2 du même article 13, lesquelles se rapportent :
 à la durée de conservation ;
 aux droits des personnes concernées ;
 au droit de retirer son consentement lorsque le traitement se fonde précisément sur le consentement de la personne ;
 au droit d’introduire une réclamation auprès d’une autorité de contrôle ;
 lorsque la collecte de données présente un caractère réglementaire ou contractuel si le personne est tenue de fournir ses données personnelles ainsi que les conséquences en cas de refus ;
 à l’éventualité d’une prise de décision automatisée, y compris par profilage, et à la logique sous-jacente de l’algorithme utilisé ainsi que les conséquences du traitement pour la personne ;
 le cas échéant, si le responsable de traitement à l’intention d’utiliser les données pour un traitement ultérieur et d’une finalité différente de celle pour laquelle elles ont été collectées, à toute information utile et pertinence, etc.

Le texte n’est pas repris in extenso, toujours est-il qu’il appartient au responsable de traitement de rendre ces informations accessibles, claires et compréhensibles, de même qu’il lui appartient d’en assurer la complétude.

Pour qui s’y est essayé, l’exercice est loin d’être évident.

Au terme de ses constatations, la CNIL a considéré que l’ergonomie retenue et, plus globalement, l’architecture générale choisie par Google LLC en matière d’information ne respectait pas les obligations du RGPD, du fait de la dispersion de ces informations entre plusieurs documents (, , , etc.), obligeant l’utilisateur à multiplier les clics (de 5 à 6 actions nécessaires) et rendant par conséquent le recoupement d’informations complexe.

Elle tire le même constat en ce qui concerne les informations relatives à la durée de conservation des données qui doit être communiquée en application de l’article 13, § 2 du RGPD, qui nécessitent au cas d’espèce de cliquer sur plusieurs liens hypertextes (4 en l’occurrence) et, pour la CNIL, aux intitulés parfois obscurs (, ) avant de parvenir à l’information souhaitée.
En définitive, la CNIL ne reproche pas l’absence des renseignements obligatoires, mais elle souligne le caractère contre-intuitif de l’architecture informationnelle mise en place ainsi que l’éparpillement de l’information pour conclure à un manquement aux exigences de transparence et d’accessibilité.

2.2 - Une proportionnalité nécessaire en tout… à apprécier en faveur des personnes à « protéger ».

En second point, la CNIL relève le caractère « particulièrement massif et intrusif » des traitements opérés par Google LLC. Les données collectées proviennent en effet de l’utilisation du téléphone et des applications associées au système Android, dont plus d’une vingtaine sont des services proposés par Google LLC.

La CNIL observe en particulier le très grand nombre de données collectées, provenant de trois sources complémentaires. Entre celles fournies directement par la personne (nom, mot de passe, adresse courriel, moyens de paiement, albums, etc.), celles générées par son activité (adresse IP, identifiants uniques, données mobiles, Bluetooth, géolocalisation, historiques de navigation et d’utilisation des applications, etc.) et celles dérivées ou inférées des deux premières catégories, la quantité de données collectées est susceptible « de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes, dont leurs habitudes de vie, leurs goûts, leurs contacts, leurs opinions ou encore leurs déplacements. »
Au regard des principes posés par les articles 12 et 13 précédemment rappelés, la CNIL considère que l’information délivrée aux utilisateurs est insuffisante pour leur permettre de comprendre pleinement les conséquences particulières des traitements dont ils sont l’objet. En cela, c’est la finalité des traitements, autrement dit l’utilisation qui est faite des données qui n’est pas suffisamment précisée, car indiquée de façon trop générique.

Parmi les exemples constatés, la CNIL relève des formulations de ce type : « proposer des services personnalisés en matière de contenu et d’annonces, assurer la sécurité des produits et services, fournir et développer des services, etc. », ou encore : « Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. […] Les informations que nous collectons et l’usage que nous en faisons dépendent de la manière dont vous utilisez nos services et dont vous gérez vos paramètres de confidentialité ».

Sans aller jusqu’à poser explicitement un principe de proportionnalité, l’autorité de contrôle considère que la description des finalités poursuivies par Google LLC n’est pas en adéquation avec l’ampleur des traitements réalisés ni avec leurs impacts potentiels sur la vie privée. La CNIL estime qu’en tout état de cause l’information fournie aux utilisateur n’est pas adaptée et se révèle donc insuffisante par rapport aux objectifs de clarté et de compréhension.

La CNIL ne va pas jusqu’à dire ce qu’il conviendrait de faire mais elle souligne dans sa décision « qu’il serait possible, par d’autres types de modalités de présentation adaptées à des services de combinaison de données, de fournir dès le stade des Règles de confidentialité une vision d’ensemble des caractéristiques de cette combinaison en fonction des finalités poursuivies ».

Pas sûr que la leçon soit des mieux comprises faute d’exemples plus précis. Quoi qu’il en soit, il importe pour tout responsable de traitement d’engager une réflexion approfondie tant sur l’architecture des informations communiquées que sur la présentation des finalités des traitements qu’il réalise ou entend réaliser afin de les adapter aux exigences du RGPD, en termes de transparence et de compréhension vis-à-vis des personnes concernées.

III. L’expression du consentement lorsqu’il constitue la base de la licéite du traitement.

Enfin, la CNIL relève une contradiction dans l’énoncé de la base juridique censée assoir la licéité du traitement de personnalisation des publicités, ajoutant ainsi au défaut de clarté déjà signalé.

A l’examen des règles de confidentialité de Google, il ressort de prime abord que le traitement de données repose sur l’autorisation de l’utilisateur, fondé sur son consentement. Mais, souligne immédiatement la CNIL dans sa décision, il est indiqué plus loin par Google LLC que le fondement du traitement correspond en définitive à l’intérêt légitime de la société. Au cas particulier, l’intérêt légitime est justifié par la mise en œuvre d’actions marketing destinées à faire connaître aux utilisateurs les services proposés et, surtout, à recourir à la publicité afin de permettre aux utilisateurs d’avoir accès gratuitement à un grand nombre de services.

3.1 - Rappel sur la condition essentielle de licéité.

L’article 5 du RGPD dispose que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. Or selon l’article 6, § 1 du RGPD, un traitement n’est licite que s’il repose sur au moins une des six bases juridiques suivantes :

« a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. […] ».

Le consentement visé au point a) de l’article 6, § 1 n’est donc qu’une des conditions de la licéité des traitements parmi la liste proposée. Celle-ci peut reposer sur cette seule base juridique, de façon suffisante, comme elle peut aussi reposer sur plusieurs d’entre elles.

Et l’intérêt légitime de l’entreprise responsable du traitement qui figure au point f) du même article est susceptible de servir de base juridique tout autant que les cinq autres conditions, sans hiérarchie entre elles.

Il est clair qu’en cas de pluralité de bases juridiques, il importe d’être extrêmement attentif au fait que toutes les conditions propres à chacune des justifications doivent être réunies.

3.2 - Intérêt légitime du responsable de traitement vs consentement des personnes concernées.

La notion d’intérêt légitime a été longuement discutée avant d’être intégrée à la liste des conditions de licéité. Toutefois, elle n’est pas définie de façon stricte par le RGPD qui, de facto, en fait une notion un peu fourre-tout, même si le recours à cette base juridique nécessite évidemment d’être justifié et ne peut, non plus, porter une atteinte disproportionnée aux intérêts ou libertés et droits fondamentaux de la personne concernée.

Il est vrai que la complexité de lecture du Règlement européen a pu faire hésiter plus d’un responsable de traitement. De même que la crainte de se tromper de base juridique (vu la hauteur des sanctions encourues) a conduit nombre de responsable de traitement à écarter l’intérêt légitime de l’entreprise (considéré de bonne foi comme une notion trop subjective) pour retenir une autre base de licéité se révélant finalement plus fragile ou plus complexe à mettre en œuvre.

Pourtant, dans son considérant 47, le RGPD donne quelques exemples qui peuvent selon nous se décliner à l’envi (sous réserve de la balance des intérêts, libertés et droits fondamentaux des personnes) : « Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime. »

En matière marketing, dans son avis n° 06/2014 du G29, le groupe des CNIL européennes avait déjà admis qu’un responsable de traitement pouvait avoir un intérêt légitime à connaître les préférences de ses clients pour être en mesure de mieux personnaliser ses offres et, en fin de compte, de proposer des produits et des services qui correspondent mieux aux besoins et aux désirs des clients.

Au cas d’espèce, il s’avère que devant la formation restreinte de la CNIL, Google LLC a indiqué que la seule base juridique sur laquelle reposait les traitements de personnalisation des publicités était non pas l’intérêt légitime de l’entreprise mais le consentement de la personne. La CNIL en a conclu à un défaut de clarté impliquant un manque de compréhension quant aux informations communiquées aux personnes concernées, qui, selon elle, ne peuvent savoir si les propositions commerciales personnalisées qu’elles reçoivent procèdent de leur consentement ou de l’intérêt légitime de la société.

Or, énonce une nouvelle fois la CNIL, l’exigence de clarté dans la mise en place de ces traitements découlent directement de leur importance au sein de l’architecture des services proposés et de leur impact sur les personnes ciblées.

3.3 - Précisions sur les caractéristiques du consentement.

On rappellera que le consentement, lorsqu’il constitue la base juridique du traitement, doit être donné de façon « libre, spécifique éclairée et univoque » (art. 4, § 11 du RGPD) pour chaque finalité du traitement. Concrètement, le consentement doit se traduire par un acte positif clair et, le cas échéant, distinct pour chacune des utilisations de données personnelles envisagées, ce qui implique de lister précisément à chaque fois l’obtention de l’accord des personnes.

Par conséquent, toute acceptation tacite ou implicite, de même que toute mutualisation d’acceptation doivent être exclues car non conformes au RGPD.

Au cas présent, la CNIL a considéré que la condition relative à l’accomplissement d’un acte positif clair n’était pas respectée dès lors que l’acceptation des conditions d’utilisation de GOOGLE emportait la validation de plusieurs cases pré-cochées par défaut (information difficilement visible sans recherche), qui nécessitaient pour être désactivées que l’utilisateur procède lors de la configuration de son compte à plusieurs opérations de paramétrage.

Compte tenu des principes posés par le RGPD, face au procédé consistant à devoir accepter des traitements présentés en bloc, l’utilisateur ne se trouve pas à même d’exprimer son consentement libre et éclairé étant donné qu’il doit au contraire s’y opposer.

La CNIL rappelle aussi que pour le consentement soit éclairé, il est nécessaire d’informer la personne concernée de certains éléments cruciaux pour qu’elle puisse opérer un choix et que, a minima, certaines informations sont nécessaires pour obtenir un consentement valable, à savoir :
 l’identité du responsable du traitement ;
 la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité ;
 les (types de) données collectées et utilisées ;
 l’existence du droit de retirer son consentement (à tout moment) ;
 (le cas échéant) des informations concernant l’utilisation des données pour la prise de décision automatisée [...] et des informations sur les risques éventuels liés à la transmission des données en raison de l’absence de décision d’adéquation et de garanties appropriées […].

En l’occurrence, la CNIL a estimé que la dissémination des informations communiquées par Google ne permettait pas à l’utilisateur d’avoir une appréhension globale des traitements dont il peut faire l’objet et de leur portée et que, de ce fait, son consentement n’était pas suffisamment éclairé et ne caractérisait pas un acte positif spécifique et équivoque.

Par ailleurs, de façon plus accessoire, la CNIL relève encore d’autres manquements aux obligations de transparence et d’information portant sur les délais de conservation de certaines informations collectées, rédigées de façon très générique et sans durée précise, ce qui ne répond pas pour la CNIL aux obligations de l’article 13 précité.

En conclusion, la CNIL n’a pas relevé l’absence de tout renseignement dont elle souligne au contraire la dispersion dans les différentes pages du site Google, ce qu’elle traduit par un manque de transparence et de clarté. Ce qu’elle critique aussi c’est l’organisation de l’information des personnes concernées mise en place, qui, à ses yeux et compte tenu de l’ampleur des traitements, n’intervient pas au bon moment. Elle relève en effet que le schéma retenu par Google suppose d’avoir déjà créé son propre compte utilisateur pour avoir accès aux informations souhaitées. Or pour la CNIL, les renseignements rendus obligatoires par le RGPD, notamment au titre du consentement doivent être communiqués en amont ou, au plus tard, en même temps que la création du compte sans qu’il soit nécessaire pour les utilisateurs d’engager une « démarche active » et à « l’initiative de ceux-ci ».

C’est en ce sens que l’information délivrée lui est apparue insuffisante et non conforme.

Concernant la sanction prononcée et sa publicité, il faut rappeler que le RGPD prévoit des amendes administratives graduées en fonction de l’importance des manquements. Ainsi, en cas de violation des dispositions relatives aux obligations du responsable de traitement ou du sous-traitant, celles-ci peuvent s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial de l’exercice précédent (le montant le plus élevé étant retenu). Et en cas de violation aux dispositions relatives aux droits des personnes, l’amende peut s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial de l’exercice précédent (le montant le plus élevé étant retenu).

En l’espèce, la CNIL a souligné que les manquements constatés, en ce qu’ils portaient atteinte aux obligations de transparence et d’information, lesquelles conditionnent les droits des personnes, relevaient des cas devant être les plus sévèrement sanctionnés. Par rapport au montant maximum encouru (4 % du CA mondial annuel, pour un chiffre d’affaires 2017 de 109,7 milliards de dollars, soit environ 96 milliards d’euros), elle a estimé qu’une sanction pécuniaire de 50 millions d’euros était justifiée, ainsi qu’une sanction complémentaire de publicité.

Au terme d’une sanction fleuve de près de trente pages, en revenant sur les fondamentaux du RGPD et consciente de l’exemplarité de sa décision, la CNIL a aussi mis en exergue un principe de proportionnalité qui figure d’ailleurs à plusieurs reprises dans le Règlement européen. Sur la base de ce principe, elle a considéré que sa sanction devait tenir compte de l’ampleur des traitements déployés et des manquements relevés à mettre « en perspective au regard du modèle économique de la société » et de sa place prépondérante sur le marché des systèmes d’exploitation.

Lionel Goutalier Avocat au Barreau de Lyon,