RGPD : validation de la sanction de 50 millions d’euros infligée à Google par la Cnil

Le Conseil d’Etat confirme que Google n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires.
La société Google a été sanctionnée le 21 janvier 2019 par la Cnil pour des manquements concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android.Elle a saisi le Conseil d’Etat pour demander l’annulation de cette sanction prise sur le fondement du règlement général sur la protection des données (RGPD) (règlement 2016/679).
Dans un arrêt du 19 juin 2020 (requête n° 430810), le Conseil d’Etat confirme l’appréciation portée par la Cnil sur l’information mise à disposition des utilisateurs d’Android par Google concernant le traitement de leurs données. Il considère que son organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité requises par le RGPD, alors même que les traitements en cause sont particulièrement intrusifs par leur nombre et la nature des données collectées. Il relève en outre que l’information disponible est parfois lacunaire, notamment s’agissant de la durée de conservation des données et des finalités des différents traitements opérés par Google.Ainsi, Google a manqué à ses obligations d’information et de transparence.
En outre, le Conseil d’Etat relève que l’utilisateur qui souhaite créer un compte Google pour utiliser le système Android est d’abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité. L’information sur le ciblage publicitaire qui lui est fournie à cette étape est générale et diluée au milieu d’informations relatives à d’autres finalités. Alors que le recueil du consentement est, à ce premier niveau, effectué de manière globale pour l’ensemble des finalités poursuivies par le traitement des données, le Conseil d’Etat confirme l’appréciation de la Cnil selon laquelle l’information relative au ciblage publicitaire n’est pas présentée de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement recueilli.  Après avoir relevé que l’utilisateur peut obtenir une information complémentaire sur le ciblage publicitaire en cliquant sur un lien « plus d’options », et qu’il est alors invité à donner un consentement spécifique à cette finalité, le Conseil d’Etat estime que l’information fournie à ce deuxième niveau par Google est, là encore, insuffisante. Par ailleurs, le consentement y est recueilli au moyen d’une case pré-cochée, ce qui ne répond pas aux exigences du RGPD.Ainsi, Google ne met pas l’utilisateur à même de donner un consentement libre et éclairé au traitement de ses données aux fins de personnalisation de la publicité.
Compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de la société Google, le Conseil d’Etat juge que la sanction de 50 millions d’euros prononcée par la Cnil n’est pas disproportionnée.
Par ailleurs, le Conseil d’Etat confirme que la Cnil était compétente pour prononcer la sanction. Google estimait que l’autorité de protection des données irlandaise était seule compétente pour contrôler ses activités dans l’Union européenne, le contrôle du traitement des données revenant à l’autorité du pays où le principal établissement du responsable du traitement des données est situé, selon un principe de « guichet unique » institué par le RGPD.Le Conseil d’Etat relève toutefois qu’à la date de la sanction, la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur les traitements de données, la société Google implantée aux Etats-Unis détenant seule ce pouvoir. Le système du guichet unique n’était pas donc applicable et la Cnil était compétente pour sanctionner les manquements de Google relatifs au traitement des données des utilisateurs français d’Android.
Stéphanie BAERT