Dès l'entrée en vigueur du RGPD, deux associations ont saisi la CNIL pour signaler les manquements de la société Google LLC à sa mise en conformité. Les deux associations None of your business et La Quadrature du Net ont agi sur les réclamations réunies de 9 974 personnes.

L'argumentation présentée par la société Google LLC a été fournie et la CNIL a mis en oeuvre ses pouvoirs d'enquête conférés par le Règlement. Cela l'a finalement amené à rendre sa décision le 21 janvier 2019 et la condamnation de Google.


La décision de condamnation

Plus que l'amende administrative de 50 millions d'euros, bien que record, ce sont les conséquences de cette condamnation qui importent. En effet, il n'est guère nécessaire de s'attarder sur ce montant que certains jugent haut et d'autres trop bas au vu du chiffre d'affaires de Google s'élevant à plusieurs milliards d'euros par an (une amende ne peut excéder 4% du chiffre d'affaires annuel de l'entreprise selon le RGPD et doit être « proportionnée, effective et dissuasive »).

La décision de la CNIL traduit la volonté de faire de Google, un géant américain du numérique, un exemple pour toutes les entreprises qui tendraient à ne pas vouloir se mettre en conformité avec le RGPD de manière satisfaisante. Il y a une très grande responsabilité d'un tel géant en position dominante et centrale sur le marché du traitement des données. Ceci viserait à inciter les autres acteurs clés à suivre le mouvement comme Facebook et Amazon.


Les points principaux de la décision

La CNIL s'est tout d'abord reconnue compétente en matière procédurale. En effet, la société a reproché à l'autorité administrative son absence de compétence territoriale en raison de l'absence d'établissement principal en France contrairement à l'Irlande. Or, la CNIL s'est basée sur le critère du « centre réel de décision ». Elle a apprécié qu'il ne se trouve pas en Irlande. Bien qu'il y ait des salariés dédiés au traitement des données quant au système Android, la publicité personnalisée et la création d'un compte Google et un DPO désigné en Irlande, comme s'en prévaut l'entreprise. Ce serait Google LLC qui aurait développé réellement ces outils. Le transfert de ce centre ne s'est réalisé qu'au 31 janvier 2019, bien après la saisine de la CNIL. À défaut de tout établissement principal sur le territoire européen pouvant servir de « guichet unique », la CNIL au visa du RGPD était compétente pour traiter de l'affaire.

Sur le fond à présent, la CNIL reproche à Google de ne pas respecter l'obligation imposée par la réglementation européenne sur la transparence, l'accessibilité et l'information claire sur le traitement des données au profit des utilisateurs. Il y a de nombreuses clauses de confidentialité et conditions d'utilisation sur les différents services de Google (Gmail, Google+, Android, etc.). Toutes nécessitent plusieurs actions pour l'utilisateur pour pouvoir y avoir accès entre renvoi par plusieurs liens et des subdivisions excessives. Il n'y a que des informations éparpillées. Ensuite, certaines informations sont floues, comme la conservation des données sans précision sur le but ou la durée. Ces points combinés de défaut de transparence et d'information claire tendent à ne pas pouvoir avoir une vue d'ensemble du sort des données récoltées pour l'utilisateur.

La CNIL avance notamment le défaut de base légale pour le traitement publicitaire dans ce cadre de défaut d'information, mais pour le consentement spécifique requis par le RGPD. Pour l'autorité administrative, le fait d'avoir toutes les cases déjà cochées et de n'avoir plus qu'à « accepter » n'est pas représentatif du consentement de l'utilisateur comme le veut le RGPD. Il est normalement nécessaire d'avoir une action positive de l'utilisateur qui devrait par ce fait cocher lui-même les cases pour accorder son consentement au traitement de ses données personnelles.


Qu'en retenir ?

La condamnation par la CNIL de Google, si elle ne présente pas une menace sérieuse pour l'entreprise financièrement, reste tout de même significative.
Première sanction d'un géant américain dans le traitement des données, la CNIL s'est posée comme premier gardien européen du RGPD.



Sources : Délibération de la formation restreinte n SAN - 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société Google LLC ; Le Monde, Zdnet, Dalloz Actualité



Les articles suivants sur l'actualité juridique peuvent vous intéresser :

Actualités sur la fraude fiscale
Le droit face aux nouvelles technologies
Le RGPD, quelles conséquences ?