La CNIL prononce une sanction pécuniaire sans précédent d’un montant de 50 millions d’euros à l’encontre de Google LLC (Délibération 2019-001 du 21 janvier 2019).

La CNIL a constaté deux séries de manquements à l’encontre de Google LLC relatifs aux traitements de données personnelles réalisées à partir du système d’exploitation pour les terminaux mobiles Android : le manquement aux obligations de transparence et d’information des personnes et le manquement à l’obligation de fonder chaque traitement sur une base légale.

La compétence de la CNIL du fait de la non application du mécanisme de guichet unique.

Le RGPD a introduit un mécanisme de guichet unique, dit one-stop-shop, en application duquel seule l’autorité de contrôle du lieu de l’établissement principal du responsable de traitement, dite autorité chef de file, est compétente s’agissant des traitements transfrontaliers qu’il opère.

La délibération de la CNIL illustre la complexité de la désignation de cette autorité chef de file qui nécessite au préalable d’identifier l’établissement principal.

En l’espèce, Google LLC arguait que l’autorité chef de file était la Data Protection Commission irlandaise du fait de son établissement principal, Google Ireland.

La CNIL, considérant que pour les traitements opérés via le système d’exploitation Android, Google ne dispose pas d’établissement principal au sein de l’Union européenne, rejette cet argument et rappelle que la qualification d’un établissement principal s’apprécie in concreto, le pouvoir de décision effectif quant aux traitements de données à caractère personnel en cause en étant un élément essentiel.

Elle considère que le fait que Google Ireland Limited soit le siège social de Google pour ses opérations européennes n’est pas suffisant pour le qualifier d’établissement principal et que les moyens financiers et humains dont dispose Google Ireland Ltd pour fournir des services en Europe ne préjugent pas de l’existence d’un tel pouvoir décisionnel.

A l’appui de sa décision, la CNIL souligne que Google Ireland Ltd n’est pas présenté aux utilisateurs comme l’entité décisionnelle au sein de sa politique de confidentialité, qu’elle n’avait pas désigné de DPO et que le système d’exploitation Android est uniquement développé par Google LLC.

Ainsi, faute d’identifier un établissement principal du responsable de traitement, la CNIL écarte le mécanisme de guichet unique et se déclare compétente.

Préconisations pour une mise en place du mécanisme de one-stop-shop.

 Veillez à documenter le pouvoir décisionnel de votre établissement principal quant aux finalités et aux moyens des traitements en cause.

 Identifiez clairement comme tel l’établissement dans la Politique de confidentialité.

 Désignez un DPO pour cet établissement.

L’obligation de transparence et d’information.

Le responsable de traitement est tenu de fournir aux personnes concernées des informations claires et compréhensibles quant aux traitements effectués à partir de leurs données à caractère personnel.

Or, en l’espèce, les informations étaient disséminées dans des documents distincts dans le cadre d’un parcours complexe créant la confusion chez l’utilisateur.

Il est intéressant de relever que la CNIL a apprécié la conformité desdites mentions d’informations au regard du très grand nombre de données traitées et du caractère intrusif des traitements (la géolocalisation notamment). Elle a ainsi considéré, au vu de ce principe de proportionnalité, que ces mentions ne permettaient pas aux intéressés de mesurer les risques que les traitements opérés étaient susceptibles de présenter pour leur vie privée.

Au-delà de ce manque de transparence quant aux finalités des traitements, la CNIL souligne le manque de clarté s’agissant des bases légales retenues. Ainsi, Google LLC ne fait pas de distinction dans ses mentions d’informations entre les traitements dont le fondement est le consentement des intéressés (les opérations de publicité personnalisée à partir de la combinaison de données) et ceux relevant de l’intérêt légitime du responsable de traitement (les autres formes de ciblage).

Préconisations pour la conformité de vos mentions d’informations.

 Les mentions d’informations doivent être facilement accessibles et aisément compréhensibles.
 Elles doivent permettre à l’utilisateur de mesurer l’impact potentiel des traitements proposés sur sa vie privée.
 Elles doivent, dès le premier niveau d’informations, permettre d’apprécier le nombre et la portée des traitements en œuvre.
 Elles doivent informer clairement les intéressés de la base légale propre à chaque finalité de traitement.

L’obligation de disposer d’une base légale.

Un traitement de données à caractère personnel n’est licite que s’il est fondé sur une base légale qui peut, notamment, être le consentement des personnes concernées.

Pour être valide, le consentement doit être manifesté par un acte positif, être libre, spécifique, éclairé et univoque.

En l’espèce, la CNIL relève qu’en l’absence d’une information claire, les personnes concernées ne sont pas en mesure de donner un consentement éclairé.

En outre, l’utilisateur n’étant pas mis en mesure, au moment de la création de son compte, de paramétrer ses choix par finalité de traitement et les cases permettant de consentir à la publicité personnalisée étant pré-cochées, le consentement était dépourvu de validité et ne pouvait, de ce fait, servir de base juridique.

Préconisations pour obtenir un recueil du consentement valide.

 Soignez le parcours utilisateur afin que ce dernier dispose d’une information claire et compréhensible sur la façon dont seront traitées ses données.
 Mettez en place un moyen de recueillir la volonté éclairée des intéressés de manière positive (excluez les cases pré-cochées).
 Veillez à ce que ce consentement soit spécifique (bannissez les formules du type « tout accepter »).
 Conservez la preuve des consentements ainsi recueillis.

Claudia Weber, avocat associé et fondateur du cabinet ITLAW Avocats, directrice des pôles Contrats, Licensing, Innovations, Sécurité, Marketing digital et eSanté et Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance