C’est une première en Europe : une entreprise américaine, le G des GAFA, est définitivement condamnée à payer une amende de 50 millions d’euros au titre de diverses violations des règles françaises et européennes (RGPD) relatives à la protection des données personnelles.

À l’origine de l’affaire, plusieurs plaintes déposées auprès de la CNIL, en mai 2018, par les associations La Quadrature du Net et None of your business. Les deux associations reprochaient notamment à Google de ne pas informer convenablement les utilisateurs du système d’exploitation Android sur les données personnelles collectées et traitées, et de recueillir leur consentement d’une manière qui n’est pas conforme au droit européen.

La CNIL leur a donné raison, dans sa délibération du 21 janvier 2019.

La première question portait comme toujours, ou presque, sur la compétence. Google soutenait que son établissement principal était en Irlande et que l’entreprise américaine ne devait donc être soumise, pour ses activités en Europe, qu’à la compétence de l’autorité de contrôle irlandaise, à l’exclusion de la CNIL française. La CNIL a toutefois relevé que l’utilisateur ne disposait pas “d’un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à [lui] lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android”. Elle a donc jugé que l’établissement de Google en Irlande ne pouvait pas être considéré comme son établissement principal dans l’Union Européenne au sens de l’article 4 § 16 RGPD. De là, elle a déduit sa compétence pour instruire les plaintes formulées contre Google.

Sur le fond, deux griefs formulés contre Google ont emporté sa condamnation.

Le premier grief porte sur le manque de transparence et d’information de Google à l’égard des utilisateurs d’Android. Selon l’article 12 RGPD, l’information doit être “concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples”. L’article 13 ajoute que le responsable de la collecte de données personnelles doit fournir un certain nombre d’informations à la personne concernée (son identité précise, les coordonnées du délégué à la protection des données, les finalités du traitement, les destinataires des données, etc.).

La CNIL juge que les “progrès” que Google a faits dans l’information des utilisateurs, ces dernières années, ne suffisent pas à satisfaire aux exigences du réglement européen. Ainsi, “les informations qui doivent être communiquées aux personnes en application de l’article 13 sont excessivement éparpillées dans plusieurs documents” qui “comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires”. Il s’ensuit que “[qu’un] tel choix ergonomique entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents. Celui-ci doit ensuite consulter attentivement une grande quantité d’informations avant de pouvoir identifier le ou les paragraphes pertinents. Le travail fourni par l’utilisateur ne s’arrête toutefois pas là puisqu’il devra encore recouper et comparer les informations collectées afin de comprendre quelles données sont collectées en fonction des différents paramétrages qu’il aura pu choisir”. En outre, “un même parcours dénué de tout caractère intuitif est requis de l’utilisateur s’agissant des informations relatives aux données de géolocalisation”, et ce qu’est au bout de quatre clics qu’il parviendra à obtenir les informations relatives à la durée de conservation de ses données. Dans un univers virtuel fait de “clics” sur des liens entre des contenus liés entre eux, la transparence s’évalue en nombre de clics à effectuer avant de parvenir à l’information recherchée.

Il n’en demeure pas moins que “les traitements de données mis en œuvre par [Google] sont particulièrement massifs et intrusifs”. Les données proviennent de plusieurs services (moteur de recherche Google, YouTube, Gmail, Google Analytics, etc.) et sont traitées par “au moins vingt services proposés par la société” Google. Celle-ci collecte plusieurs catégories de données : certaines sont produites par le sujet du traitement (nom, prénom, adresse, numéro de téléphone, etc.), d’autres sont générées par son activité (adresse IP, géolocalisation, historique de connexion, etc.), et d’autres encore sont “dérivées ou inférées à partir des données fournies par cette personne ou son activité” (par exemple, les centres d’intérêt déduits de l’historique de navigation ou des courriers électroniques reçus). Ces traitements massifs et intrusifs nécessitent une vigilance accrue quant au respect des règles du RGPD. Et Google échoue, “les informations délivrées par la société ne permett[ant] pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard”, car elles sont “sont trop génériques au regard de la portée des traitements mis en œuvre et de leurs conséquences”.

Le second grief concerne la base légale du traitement. On sait que le RGPD ne permet la collecte et le traitement de données personnelles que dans certains cas, énumérés par l’article 6. Parmi ces différents fondements, Google invoquait celui du consentement donné par le sujet du traitement : lorsque l’utilisateur y consent, le traitement de ses données est licite. Pourtant, il faut que le consentement soit libre et éclairé, c’est-à-dire que l’utilisateur sache précisément ce à quoi il consent. Or, comment ce consentement pourrait-il être éclairé, compte tenu de l’ampleur et de la gravité des manquements au devoir d’information précédemment identifiés ? C’est en toute logique que la CNIL considère “que le consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas suffisamment éclairé”.

Plus fondamentalement, c’est le processus d’inscription présenté au nouvel utilisateur Android qui est remis en cause : la succession d’écran que l’on fait défiler en cliquant sur “Suivant” sans rien lire ne permet pas de recueillir le consentement éclairé de l’utilisateur. Selon la CNIL, “le consentement de l’utilisateur n’est, dans ce cas de figure, pas valablement recueilli dans la mesure où il n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données”. Il en va de même lorsque le consentement est globalement donné pour plusieurs traitements différents : il n’est spécifiquement éclairé pour aucun d’entre eux : “le caractère spécifique du consentement n’est pas respecté puisque l’utilisateur, par ces actions, accepte en bloc l’ensemble des traitements de données à caractère personnel mis en œuvre par la société, y compris à ceux de personnalisation de la publicité”.” Et la CNIL d’enfoncer le clou : “si certains parcours utilisateurs peuvent inclure une fonctionnalité permettant à l’utilisateur de consentir de manière mutualisée au traitement de ses données pour différentes finalités proches, cette facilité ne peut être considérée comme conforme que si les différentes finalités de traitement lui ont été présentées de manière distincte au préalable et qu’il a été en mesure de donner un consentement spécifique pour chaque finalité, par un acte positif clair, les cases n’étant pas pré-cochées”.

Google est donc condamnée à une amende de 50 millions d’euros, que la CNIL n’a pas jugé être disproportionnée.

Par son arrêt du 19 juin 2020, le Conseil d’État a rejeté le recours de Google contre cette délibération de la CNIL, confirmant de ce fait la condamnation de l’entreprise américaine.

Le Conseil d’État confirme la compétence de la CNIL, jugeant qu’au moment de sa saisine, la société irlandaise Google LLC ne pouvait être considérée comme l’établissement principal de Google en Europe.

Il confirme ensuite que :

• “le premier niveau d’information proposé aux utilisateurs apparaît excessivement général eu égard à l’ampleur des traitements opérés par la société, au degré d’intrusion dans la vie privée qu’ils impliquent et au volume et à la nature des données collectées”
• “les informations essentielles relatives à certains traitements ne sont accessibles qu’à la suite de nombreuses actions, ou qu’elles ne le sont qu’à partir de liens hypertextes eux-mêmes difficilement accessibles”
• “l’information transmise est elle-même parfois lacunaire ou insuffisamment précise, y compris dans les derniers niveaux d’information”.

Le Conseil d’État en conclut que “l’arborescence choisie par Google apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées”.

S’agissant du consentement des utilisateurs, le Conseil d’État relève que l’information fournie par Google “est générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale”, insuffisante et recueillie au moyen d’une case pré-cochée. La condition imposée par le RGPD selon laquelle le consentement doit être recueilli par un “acte positif clair” n’est donc pas satisfaite.

Enfin, last but not least, s’agissant du montant de 50 millions d’euros, le Conseil d’État juge “qu’eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50 000 000 d’euros prononcée à l’encontre de la société Google ne revêt pas un caractère disproportionné”.