Google LLC : Sanction CNIL de 50 millions d’euros

[well type=""][icon type="fa fa-cube" color="#dd3333"] Réflexe juridique

La CNIL a prononcé une sanction de 50 millions d’euros contre Google LLC. Une décision-alerte aux acteurs majeurs de l’internet, à l’heure du nouveau cadre RGDP et à la hauteur du droit des personnes dont les données personnelles sont collectées. [/well]   

 

Google LLC établissement principal

 

Pour évacuer les questions de compétence, la société Google Ireland LTD n’a pas été considérée comme l’établissement principal de la société Google LLC. en Europe au sens de l’article 4 (16) du RGPD. Il n’était pas établi que Google Ireland LTD disposait d’un pouvoir décisionnel quant aux traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte sous un système d’exploitation Android.

L’article 4 du RGPD définit la notion d’établissement principal de la manière suivante : a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal .

Le considérant 36 du RGPD précise quant à lui : L’établissement principal d’un responsable du traitement dans l’Union devrait être déterminé en fonction de critères objectifs et devrait supposer l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement dans le cadre d’un dispositif stable.

Pour pouvoir être qualifié d’établissement principal, l’établissement concerné doit disposer d’un pouvoir de décision vis-à-vis des traitements de données à caractère personnel en cause. La qualité d’établissement principal suppose en effet l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement. L’existence d’un établissement principal s’apprécie in concreto, au regard de critères objectifs, et l’établissement principal ne saurait correspondre automatiquement au siège social du responsable de traitement en Europe. Le règlement général n’autorise pas l’élection de juridiction (forum shopping).

1^er manquement : le manque de transparence

La société Google LLC a en premier lieu été épinglée pour manque de transparence vis-à-vis des utilisateurs. Les informations délivrées aux utilisateurs par la société ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension et certaines informations rendues obligatoires par l’article 13 RGDP ne sont pas fournies aux utilisateurs.

Lesdites informations doivent être fournies de façon aisément accessible. Cette exigence d’accessibilité est éclairée par les lignes directrices sur la transparence, dans lesquelles le CEPD a considéré qu’un aspect primordial du principe de transparence mis en lumière dans ces dispositions est que la personne concernée devrait être en mesure de déterminer à l’avance ce que la portée et les conséquences du traitement englobent afin de ne pas être prise au dépourvu à un stade ultérieur quant à la façon dont ses données à caractère personnel ont été utilisées.

Selon la CNIL, l’architecture générale de l’information choisie par Google LLC ne permet pas de respecter les obligations du Règlement. En effet, les informations qui doivent être communiquées aux personnes sont excessivement éparpillées dans plusieurs documents : Règles de confidentialité et conditions d’utilisation , affiché au cours de la création du compte, puis Conditions d’utilisation et Règles de confidentialité qui sont accessibles dans un deuxième temps au moyen de liens cliquables figurant sur le premier document. Ces différents documents comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires (« options »). Un tel choix ergonomique entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents. Celui-ci doit ensuite consulter attentivement une grande quantité d’informations avant de pouvoir identifier le ou les paragraphes pertinents. Le travail fourni par l’utilisateur ne s’arrête toutefois pas là puisqu’il devra encore recouper et comparer les informations collectées afin de comprendre quelles données sont collectées en fonction des différents paramétrages qu’il aura pu choisir.  Bref, des informations essentielles sur le terrain des données personnelles, sont difficilement trouvables.

2^ème manquement : le caractère massif et intrusif de la collecte 

 

En deuxième lieu, il était reproché à Google LLC le caractère peu clair et compréhensible des informations délivrées, associé au caractère particulièrement massif et intrusif de la collecte des données.

Les données collectées par Google proviennent de sources extrêmement variées. Ces données sont collectées à la fois à partir de l’utilisation du téléphone, de l’utilisation des services de la société, tels que le service de messagerie Gmail ou la plateforme de vidéos Youtube, mais aussi à partir des données générées par l’activité des utilisateurs lorsqu’ils se rendent sur des sites tiers utilisant les services Google grâce notamment aux cookies Google analytics déposés sur ces sites. Au moins vingt services proposés par la société sont susceptibles d’être impliqués dans les traitements, pouvant concerner des données telles que l’historique de navigation web, l’historique d’usage des applications, les données stockées localement sur l’équipement (telles que les carnets d’adresses), la géolocalisation de l’équipement, etc. Dès lors, un grand nombre de données est traité dans le cadre de ces services via ou en lien avec le système d’exploitation Android.

Outre les données de sources externes, la société traite au moins trois catégories de données : i) des données produites par la personne (par exemple, son nom, son mot de passe, son numéro de téléphone, son adresse courriel, un moyen de paiement, des contenus créés, importés ou reçus, tels que des écrits, des photos ou des vidéos) ; ii) des données générées par son activité (par exemple, l’adresse IP, des identifiants uniques de l’utilisateur, les données de réseau mobile, les données liées aux réseaux sans fil et aux appareils Bluetooth, l’horodatage des actions effectuées, les données de géolocalisation, les données techniques des appareils utilisés y compris les données relatives aux capteurs (accéléromètre, etc.), les vidéos vues, les recherches effectuées, l’historique de navigation, les achats, les applications utilisées, etc. ;  iii) des données dérivées ou inférées à partir des données fournies par cette personne ou son activité.

3^ème manquement : le flou sur les finalités de la collecte

 

Sur ce volet, il a été retenu que les informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard. La description des finalités poursuivies ne permet pas aux utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée qu’ils sont susceptibles d’emporter. Une telle information n’est pas apportée de manière claire, ni au premier niveau d’information fourni aux utilisateurs par le biais du document intitulé Règles de confidentialité et conditions d’utilisation, ni dans les autres niveaux d’information proposés par la société.

 

4^ème manquement : l’absence de consentement éclairé

 

En étant autorisés et masqués par défaut, les traitements y compris ceux relatifs à la personnalisation de la publicité ne pouvaient être considérés comme ayant été acceptés par l’utilisateur par un acte positif spécifique et univoque.

A ce titre, les lignes directrices du CEPD du 10 avril 2018 sur le consentement au sens du Règlement 2016/679 (WP250) précisent que le responsable du traitement doit s’assurer i) que le consentement est fourni sur la base d’informations qui permettent aux personnes concernées d’identifier facilement qui est le responsable des données et de comprendre ce à quoi elles consentent ; ii) doit clairement décrire la finalité du traitement des données pour lequel le consentement est sollicité. En l’occurrence, l’information sur les traitements de personnalisation de la publicité est excessivement disséminée dans des documents distincts et elle n’est, à ce titre, pas aisément accessible.

 

Pour rappel, l’article 4 du Règlement susvisé précise ce que l’on entend par consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.  L’article 7 de ce même texte prévoit les conditions qui lui sont applicables :

Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.

La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée.

[toggles class="yourcustomclass"]

[toggle title="Télécharger la Décision"]Télécharger [/toggle][toggle title="Contrat sur cette thématique"]Vous disposez d'un modèle de document juridique sur cette thématique ? Besoin d'un modèle ? Complétez vos revenus en le vendant sur Uplex.fr, la 1ère plateforme de France en modèles de contrats professionnels[/toggle][toggle title="Vous avez une expertise dans ce domaine ?"]Référencez votre profil sur Lexsider.com, la 1ère plateforme de mise en relation gratuite Avocats / Clients[/toggle][toggle title="Poser une Question"]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle][toggle title="E-réputation | Surveillance de marques"]Surveillez et analysez la réputation d'une Marque (la vôtre ou celle d'un concurrent), d'une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook ...). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle][toggle title="Paramétrer une Alerte"]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu'une décision est rendue sur ce thème[/toggle][/toggles]