Le RGPD dans l'entreprise

Sanction record contre Google.

La CNIL a prononcé une sanction de 50 M€ à l’encontre de Google LLC pour graves manquements aux obligations de transparence et d’information et absence de validité du consentement recueilli.
Quels enseignements les entreprises peuvent-elles tirer de cette condamnation record ?
Le RGPD a considérablement augmenté les amendes administratives qui peuvent être prononcées par les autorités de protection telles que, pour la France, la Commission nationale de l’informatique et des libertés (CNIL). Ce montant peut en effet atteindre, pour les manquements les plus graves, 20 M€ et 4 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé devant être retenu.
En condamnant la société Google LLC à une amende de 50 M€ rendue publique, la CNIL a fait une application remarquée de ses nouveaux pouvoirs de sanction. Cette décision est d’autant plus intéressante qu’elle détaille de façon circonstanciée les griefs reprochés à la société.
I – Obligations de transparence et d’information
1) Principes fondamentaux de la protection des données à caractère personnel
Les règles relatives aux obligations de transparence et d’information ont été renforcées par le RGPD.
En effet, son article 12 dispose que « le responsable du traitement prend des mesures appropriées pour fournir toute information (…) d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, (…) » ; et son article 13 étend la liste des informations devant être fournies lorsque des données à caractère personnel sont collectées auprès d’une personne.
C’est sur le fondement de ces textes que la CNIL a considéré que, malgré certains progrès réalisés pour mieux informer les utilisateurs, Google LLC a commis des manquements et n’a pas respecté les obligations essentielles de transparence et d’information « en ce qu’elles conditionnent l’exercice des droits des personnes et leur permettent donc de garder le contrôle sur leurs données ».
2) Défaut d’accessibilité des informations fournies
Dans sa décision, la CNIL estime que « l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement » et qu’il résulte de celle-ci et du contenu des informations un « défaut global d’accessibilité des informations délivrées dans le cadre des traitements en cause ». En effet, les informations communiquées par Google sont excessivement éparpillées dans différents documents et pour accéder à leur ensemble, les intéressés doivent effectuer de nombreuses manipulations. Un tel choix d’organisation entraîne une « fragmentation des informations » obligeant l’utilisateur non seulement à multiplier les clics mais aussi à analyser une grande quantité d’informations avant de pouvoir identifier le ou les paragraphes pertinents, tout en devant « recouper et comparer les informations collectées afin de comprendre quelles données sont collectées en fonction des différents paramétrages qu’il aura pu choisir ».
Le choix de cette architecture rend donc, selon la CNIL, difficile la compréhension notamment des informations concernant les traitements de personnalisation de la publicité ou de géolocalisation pour lesquels elle relève que pas moins de « cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces et six en ce qui concerne la géolocalisation ».
3) Défaut de clarté et de compréhensibilité des informations délivrées
Sont concernés par ces exigences, les traitements de données « particulièrement massifs et intrusifs », matérialisés par le très grand nombre de données collectées par Google à de multiples occasions : lors de l’utilisation de son téléphone, lors de l’accès à une messagerie Gmail, lors du recours à la plateforme de vidéos Youtube, ou lors de visites sur des sites tiers qui utilisent les services Google (cookies Google analytics).
La CNIL classifie ces données collectées par Google en 3 catégories :
• les données produites par la personne ;
• les données générées par l’activité de la personne ;
• les données dérivées ou inférées à partir des données fournies par cette personne ou son activité.
La nature des données traitées (géolocalisation, contenus consultés) participe aussi à considérer les traitements concernés comme étant de nature massive et intrusive.
La CNIL estime donc, dans ce cadre, que les dispositions de l’article 12 du RGPD, en ce qu’elles exigent que le responsable du traitement prenne des mesures appropriées pour informer les personnes de façon compréhensible, en des termes clairs et simples, ne sont pas respectés ; et notamment le fait que les finalités annoncées, telles que « proposer des services personnalisés en matière de contenu et d’annonces », « assurer la sécurité des produits et services », ainsi que la description des données collectées, sont trop génériques et trop imprécises, et ne permettent pas aux utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée qu’ils sont susceptibles d’entraîner.
L’une des critiques majeures faite par la Commission est que le dispositif d’information mis en œuvre, s’il contribue à l’objectif de transparence tout au long de la relation, n’y participe pas suffisamment, comme l’exige l’article 13, « au moment où les données en question sont obtenues ». Ainsi, les informations communiquées à l’étape de création du compte, étape primordiale qui marque l’entrée de l’utilisateur dans l’écosystème des services Google, sont insuffisantes.
II – Collecte d’un consentement valable
Si la référence au consentement pour légitimer les traitements existe de longue date, le RGPD a renforcé les conditions de validité de son recueil, faisant de celui-ci un exercice particulièrement difficile. Au vu des mesures mises en œuvre par Google dans ce domaine, la CNIL juge, au terme d’une analyse détaillée, que « le consentement sur lequel se fonde Google pour les traitements de personnalisation de la publicité n’est pas valablement recueilli ».
1) Consentement insuffisamment éclairé
L’information des personnes et le consentement sont intimement liés. En effet, la Commission rappelle dans sa décision que « un responsable du traitement doit s’assurer que le consentement est fourni sur la base d’informations qui permettent aux personnes concernées d’identifier facilement qui est le responsable des données et de comprendre ce à quoi elles consentent. Le responsable du traitement doit clairement décrire la finalité du traitement des données pour lequel le consentement est sollicité ». Elle liste également les informations qui doivent être communiquées afin d’obtenir un consentement valable, parmi lesquelles « la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité » ainsi que « les (types de) données collectées et utilisées ».
Les utilisateurs n’étant pas en mesure de comprendre les traitements de personnalisation de la publicité dont ils font l’objet, ainsi que leur portée, et n’étant pas en mesure d’avoir une juste perception de la nature et du volume des données collectées, il y a lieu de considérer que leur consentement n’est pas suffisamment éclairé.
2) Consentement ni spécifique ni univoque
Lors de l’analyse détaillée du processus de création d’un compte par un utilisateur, la CNIL considère aussi qu’il ne consent pas spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement. Le fait que l’utilisateur soit susceptible d’accepter en bloc l’ensemble des traitements de données à caractère personnel mis en œuvre par Google, y compris ceux de personnalisation de la publicité, ainsi que le fait que certains paramètres, notamment celui relatif à l’affichage des annonces personnalisées, soient pré-cochés par défaut, contribuent largement à étayer cette position.
III – Prononcé d’une amende administrative de 50 M€
1) Absence de mise en demeure reprochée par Google
Au-delà du montant de l’amende qu’elle estime disproportionné, Google fait valoir pour sa défense qu’une mise en demeure lui aurait permis de déployer des mesures correctrices en vue d’entreprendre une démarche de mise en conformité.
Cependant, il appartient au Président de la CNIL de choisir le type d’action qu’il souhaite engager. Il peur donc décider de saisir la formation restreinte de la CNIL, compétente pour le prononcé d’une mesure correctrice ou d’une éventuelle amende.
2) Montant de 50 M€ justifié par différents éléments
Afin de justifier le prononcé d’une telle sanction administrative, la CNIL insiste sur :
• le fait que les dispositions du règlement objets des manquements, à savoir la condition de licéité du traitement et les obligations de transparence et d’information, sont des dispositions centrales dans la protection des données personnelles et que leur méconnaissance est dès lors, du fait de leur nature même, particulièrement grave ;
• le fait que les manquements concernent les données de millions d’utilisateurs, que ces données très nombreuses soient particulièrement éclairantes sur les habitudes de vie des personnes et que la société dispose « d’opérations de combinaisons au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs » ;
• les avantages que la société retire des traitements concernés, en particulier la place du traitement des données des utilisateurs à des fins publicitaires via le système d’exploitation Android.
Google LLC a formé appel de cette décision devant le Conseil d’Etat.
A suivre !

Informations

Rédacteur
Christine RUBETTI
CONSULTANT COMMERCE

Date de publication
le 22/02/19 à 11:28