Une sanction CNIL à 50 millions d’euros pour Google

Tous les professionnels attendaient en France une première condamnation “significative” pour manquement au Règlement UE 2016/679 RGPD-GDPR du 27 avril 2016. La CNIL l’a fait ce 21 janvier 2019 avec une condamnation à 50.000.000 d’€uros de sanction “administrative”.

Rappelons que sur le fondement de la Directive 95/46 et de la loi “Informatique et Libertés” ancienne version, les sanctions potentielles étaient de 150.000 €uros (3 millions en France depuis la loi « République numérique » du 7 octobre 2016).

Délibération CNIL du 21 janvier 2019 “GOOGLE LLC”: les faits

Résumé rapide de la décision SAN 2019-001 du 21 janvier 2019 (accessible en version intégrale en cliquant sur ce lien): Google commercialise son système d’exploitation Android pour téléphone mobile et “encourage” vivement ses users à lier l’utilisation de son système d’exploitation avec un compte Google.

La personne morale condamnée ? “Google LLC. … société à responsabilité limitée de droit américain dont le siège social est situé à Moutain View, en Californie (Etats-Unis)“.

Selon la CNIL, les conditions d’acceptation en France de la collecte et du traitement des données par Google LLC passent par un parcours laborieux imposant de nombreux clics en ligne : “L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions” (je cite la CNIL sur son site web). Au final pour la CNIL, le user ne sait pas ce qu’il accepte…

C’est la première décision de la CNIL sur le fondement du RGPD après une plainte de la Quadrature du Net et de l’association fondée en Autriche par Maximilian Schrems (l’homme qui a fait tomber le « Safe Harbor »). Suite à ces plaintes, la CNIL a procédé à un “contrôle en ligneen septembre 2018” (donc, pas besoin pour elle de valider une action collective des deux demanderesses initiales) analysant le parcours du combattant imposé par Google à ses users.

Délibération CNIL du 21 janvier 2019 “GOOGLE LLC”: les sanctions potentielles

Depuis des mois, les professionnels se demandent concrètement à quel montant ils sont susceptibles d’être condamnés s’ils ne respectent pas les règles du RGPD en matière d’information préalable obligatoire (articles 12 et 13 RGPD) et celles concernant le consentement préalable nécessaire à certains traitements de données (à caractère personnel – vous vous en doutez bien…). Une fois encore sur ce point, la CNIL rappelle clairement que toute forme de publicité personnalisée en ligne nécessite un consentement préalable, “éclairé“, “spécifique” et “distinct” de toute autre “base légale“.

Donc potentiellement pour GOOGLE LLC qui “a réalisé un chiffre d’affaires de 109,7 milliards de dollars (soit environ 96 milliards d’euros) en 2017” précise la CNIL, la sanction pouvait grimper jusqu’à environ 4 milliards d’euros.

La sanction ? 50 millions d’euros. C’est juste “énorme” comme diraient mes ados. Mais si je vous dis que 50.000.000 €uros, ça fait 0,0002 % du CA de Google LLC en 2017 ? Mystère de la procédure sur laquelle la CNIL ne dit rien…

Plus que le montant de la sanction, ce sont les différents fondements de la condamnation qu’il faut retenir.

Délibération CNIL du 21 janvier 2019 “GOOGLE LLC”: les manquements au RGPD

C’est un véritable inventaire à la Prévert de manquements au RGPD que reproche la CNIL à Google LLC, à savoir de manière générale pas d’information préalable “claire et détaillée” des users. Pour ce qui est du détail, la CNIL relève notamment :

– une description “floue” des finalités des différents traitements opérés par Google sur les données personnelles de ses users;

– pas de description “détaillée” des data collectées (Google prend tout ce qu’il peut collecter depuis des années…);

– défaut de clarté des “bases juridiques“, pourtant limitativement énumérées à l’article 6 du RGPD

– pas de “durée précise” de conservation des données personnelles des users (selon le principe bien ancré chez Google depuis des années “je collecte, je stocke et on verra ce qu’on peut faire de toutes ces données…“).

En plus de ce défaut flagrant de respect de l’obligation d’information imposée par le RGPD, la CNIL sanctionne également Google LLC pour absence de “consentement éclairé” et spécifique nécessaire en cas de traitement de données “à des fins publicitaires“. Pourtant, ce n’est pas faute pour la CNIL ou l’Union Européenne de marteler ce point précis, qui bouleverse tant l’écosystème de la pub ciblée en ligne…

Délibération CNIL du 21 janvier 2019 “GOOGLE LLC”: la prochaine étape ?

Inconcevable que Google accepte la sanction ! La procédure à venir ? Un appel  devant le Conseil d’État, notre haute juridiction administrative qui connait ce type de contentieux de manière exclusive en appel ? C’est fait selon Le Monde du 24 janvier 2019.

Et puis après (pourquoi pas ?), une saisine de la Cour de Justice de l’Union Européenne ? Une affaire à suivre, même s’il faut se préparer à de longs mois d’attente.

Une chose est certaine : les GAFA ne plieront devant le RGPD qu’après épuisement des voies de recours judiciaire, c’est certain !!!

Il sera intéressant de constater si, d’ici là, Google entend modifier ses conditions d’utilisation en ligne. Je n’y crois pas, car ce serait pour Google reconnaitre le bien-fondé de la condamnation de la CNIL…