Utiliser les outils coercitifs du RGPD et frapper fort pour exemplariser : On pourra résumer la décision de sanction de la CNIL envers Google en date du 21 janvier 2019 de cette manière. Cependant plus qu’une sanction pécuniaire inédite, cette décision revêt des aspects intéressants quant à l’application du règlement européen de protection des données dans plusieurs domaines. La consultation des différentes autorités via le système d’échange d’information européen pour pouvoir désigner une autorité « chef de file » donne lieu à une interprétation stricte de la notion d’établissement principal, ce qui a pour conséquence d’actionner la compétence de l’autorité française. De plus la décision apporte également des éléments quant à l’interprétation de manquement aux obligations de transparence et d’information inhérente à l’affaire. Enfin la CNIL considérant l’absence de base légale du traitement des données effectué dans le cadre de ciblage publicitaire en déduit que le consentement de l’utilisateur n’est pas valablement recueilli.
La compétence de la CNIL, la notion d’établissement principal et le mécanisme du guichet unique
L’autorité française de protection des données apporte des précisions majeures quant à la désignation de l’autorité compétente si l’entreprise concernée exerce une activité transfrontalière de traitement de données personnelles.
La position de « Google LLC » pour faire invalider la compétence de la CNIL était de considérer que « Google Ireland Limited » était son établissement principal au sein de l’Union européenne et que de facto l’autorité irlandaise de protection des données était la seule à même de traiter les plaintes contre Google en tant qu’autorité chef de file. En effet la société arguait que cet établissement était investi de la majorité des pouvoirs décisionnels et organisationnels pour les opérations menées en Europe. Qu’à ce titre, il fallait donc le qualifier d’établissement principal. La société en tout état de cause accusait la CNIL de ne pas avoir respecté les procédures de discussions et de potentielle saisie du Comité européen de la protection des données (CEPD) en cas de doute sur la détermination de l’autorité chef de file conformément aux articles 60, 64 et 65 du RGPD.
Cependant, c’est bien sur la notion d’établissement principal que la CNIL va fonder sa compétence en considérant qu’en l’espèce, l’établissement de Google en Irlande ne remplissait pas les critères objectifs de désignation de ce type d’établissement. Si l’article 4 du RGPD reconnaît bien que le lieu d’administration centrale du responsable de traitement constitue l’établissement principal, il pose également une exception : si les moyens et finalités de traitements de données sont décidés par un autre établissement du responsable de traitement et qu’il a le pouvoir de les faire appliquer, c’est cet établissement qui doit être considéré comme établissement principal. Cela signifie que l’établissement principal au sens du RGPD est le lieu de décision des traitements de données et que tant que Google ne peut pas se prévaloir d’une centralisation du pouvoir décisionnel et de gestion des traitements, alors le siège social au sein de l’Union ne peut être considéré comme étant l’établissement principal.
En l’espèce, la CNIL avait relevé pour démontrer le caractère non principal de l’établissement que « Google Ireland », à la date des poursuites, n’avait fourni aux utilisateurs aucune preuve relative à ce pouvoir décisionnel sur les traitements de données personnelles opérés et n’avait pas non plus désigné de délégué à la protection de données personnelles à l’échelle de l’Union européenne notamment.
Cela signifie que si un établissement principal ne peut pas être désigné, alors il n’y a pas d’autorité « chef de file » et donc le mécanisme de guichet unique prévu à l’article 56 du RGPD n’a pas vocation à s’appliquer. Il en résulte qu’en cas de litige, n’importe quelle autorité européenne peut être compétente et qu’en l’espèce, tel était le cas de l‘autorité française.
De plus, une véritable consultation des autres instances européennes avait été opérée afin d’évincer tout problème procédural quant à la coopération et la cohérence inter-états. En effet la CNIL a communiqué toutes les réclamations à toutes les autorités de contrôle. De cette consultation, est ressorti le fait qu’aucune divergence concernant le cas d’espèce n’existait et que l’autorité irlandaise elle-même s’était défendu publiquement d’avoir une quelconque compétence d’autorité « chef de file » dans le cas de Google. De plus, la clarté des lignes directrices du 27 avril 2017 relatives à la désignation de l’autorité chef de file du CEPD, était telle qu’il n’était pas nécessaire que ce dernier émette un nouvel avis sur la question. Par conséquent sa saisine n’était pas opportune.
La première leçon à retenir de cette décision est donc qu’un responsable de traitement présent dans plusieurs États-membres doit, pour se prévaloir du mécanisme du guichet unique, respecter des critères stricts quant à la dénomination d’établissement principal. Cela démontre une volonté de centralisation des traitements. En effet pour une multinationale, il semble opportun de n’avoir affaire qu’à une seule autorité de contrôle pour des raisons évidentes de procédure, d’organisation mais surtout de libre circulation des données au sein de l’Union. De la même façon, dans un but de protection des données personnelles, il vaut mieux inciter le regroupement de ces traitements permettant un contrôle de meilleure qualité.
Le manquement aux obligations de transparence et d’information
Après avoir confirmé la recevabilité contre Google des plaintes, notamment au motif que les critères de l’action représentative établis par l’article 80 du RGPD étaient remplis, et avoir justifié le champ des investigations menées pour faire suite aux plaintes déposées, l’autorité française de protection des données personnelles va méthodiquement rappeler les nouvelles exigences applicables dans le cadre du RGPD et notamment au sein des articles 12 et 13 qui disposent que le responsable de traitement s’engage à communiquer les informations concernant le traitement des données de l’utilisateur de manière concise, claire, transparente et facilement accessible (en principe de manière écrite), et qu’en plus de ce caractère général de l’information, il doit fournir des informations concernant l’identité du responsable (et du DPO si cela s’applique), les finalités du traitement, les intérêts légitimes du responsable ou du tiers pour ledit traitement, mais également les destinataires des données si elles font l’objet d’un transfert, y compris des garanties appropriées si ce transfert se fait vers un pays tiers.
Quand bien même Google se prévaut du respect de ses obligations notamment au terme d’une appréciation globale et par le biais de différents moyens mis en œuvre afin d’alerter l’utilisateur sur le traitement de ses données, la CNIL considère que malgré des progrès, cela ne suffit pas à respecter les exigences du RGPD. En effet on imagine que l’appréciation de la mise en œuvre « à l’aune de la portée concrète des traitements de données à caractère personnel en cause » signifie que le caractère global ne suffit pas et qu’il faut se baser sur les besoins réels et les attentes des utilisateurs en matière d’information sur le traitement des données en suivant un formalisme intuitif pour ce dernier. En ressort de cette interprétation que, concernant l’accessibilité à l’information, il faut que la personne puisse comprendre la portée et les conséquences du traitement de ses données. En l’espèce, ce qui caractérise le non-respect des exigences du RGPD en la matière, c’est la fragmentation de l’information dans plusieurs déclarations séparées et intervenant à des niveaux différents du processus. La CNIL considère que même si les informations sont présentes, le nombre d’actions nécessaires pour y accéder ainsi que le trop fort niveau d’attention requis pour prendre connaissance de manière effective de ces informations font que les principes de transparence et d’accessibilité ne sont pas respectées. A contrario, on comprend que pour respecter ces exigences, il convient pour la société de mettre en place un outil plus ergonomique, plus pédagogique, plus intuitif et centralisant les critères que doit revêtir l’information.
Concernant la clarté et la compréhensibilité de l’information, ces derniers sont intrinsèquement liés à la nature et à l’impact du traitement sur les personnes au regard de l’article 12 du RGPD. La CNIL considère en l’espèce que ces traitements sont massifs et intrusifs ; caractères qui peuvent être induits, on peut le supposer, dans beaucoup de traitements et par un grand nombre de responsables de traitements. Il en résulte de l’interprétation de l’autorité française que plus les traitements sont massifs et intrusifs, moins les responsables peuvent se contenter d’apporter des informations génériques que ce soit concernant les données collectées, les moyens et les finalités. Il faut donc qu’au regard de l’information donnée, l’utilisateur puisse comprendre le « premier niveau d’information qui lui est présenté », et la CNIL de rajouter qu’un degré d’information trop complexe serait contre-productif. Il convient donc au responsable de traitement de situer le degré et l’organisation de l’information entre ces deux points. Sur cet aspect, il est possible de s’interroger sur la complexité d’une telle mise en place, d’autant plus que la CNIL ne donne que de très vagues pistes de ce que pourrait être la mise à disposition d’une information conforme.
Il convient en revanche de mentionner que le critère de clarté n’est pas respecté s’il peut y avoir une confusion entre les finalités du traitement et l’usage de l’intérêt légitime pour justifier d’autres finalités. Il est de bon ton que l’autorité française sanctionne également Google sur cette base.
Enfin, s’agissant d’outils mis en place par le responsable pour permettre à l’utilisateur de garder le contrôle sur les données qu’il transmet, ils ne sont utilisables qu’après avoir créé le compte, ce qui ne permet pas à l’utilisateur d’être informé de manière transparente préalablement à cette création. C’est donc au moment où les données vont être collectées que les articles 12 et 13 du RGPD doivent être respectés et non par la mise en place d’outils après coup, ce qui n’est en soi pas une surprise.
Le traitement illicite pour défaut de base légale du consentement
La suite du raisonnement de la CNIL concerne la validité du consentement recueilli pour au moins une partie de l’activité, en l’espèce le ciblage publicitaire.
Ici, elle se base sur les divers manquements aux obligations de transparence et d’information pour montrer que le consentement n’est pas éclairé. En effet l’information est trop éclatée dans différents documents et à différents niveaux et l’utilisateur ne dispose pas d’une information adéquate quant à la nature massive et intrusive du traitement. Le consentement ne peut donc valablement être admis. En effet cela suppose une compréhension globale des enjeux liés au traitement des données par l’utilisateur. Encore une fois, la CNIL ne donne pas réellement de piste de ce qui pourrait constituer un consentement éclairé au sens de l’article 4 du RGPD. Cela résulte plutôt en une énumération non exhaustive de ce qui contribue à un consentement non-éclairé donc illicite. On peut dès lors se poser la question de comment obtenir un consentement éclairé en restant dans les clous fixés par la CNIL et qui sont très étroits.
Cependant, la décision apporte des précisions intéressantes concernant le caractère spécifique et univoque du consentement. En effet un consentement n’est pas spécifique et univoque si l’utilisateur n’a pas pu donner par un acte positif son accord quant aux différentes finalités du traitement de manière distincte.
D’une part, il s’agit donc de permettre à l’utilisateur de pouvoir choisir les finalités pour lesquelles il consent par un acte positif. Cet acte positif ne doit pas être confondu avec une action d’opposition au traitement. Dans le cas de cases pré-cochées, il s’agit bien en décochant, d’une opposition et pas d’une autorisation. L’interprétation ici est également très stricte puisqu’il y a distinction entre ce qui relève effectivement du consentement et ce qui relève de l’opposition.
D’autre part, le consentement n’est pas valablement recueilli dès lors que l’utilisateur clique sur le bouton « j’accepte les conditions d’utilisations Google » puisqu’encore une fois le consentement n’est pas spécifique car l’acceptation se fait en bloc. Selon la CNIL, la seule raison pour laquelle un responsable de traitement peut mettre en œuvre ce type de solution, c’est quand il y a déjà préalablement eu un consentement respectant les critères spécifiques et univoques.
Cette décision permet de mieux situer les attentes des autorités de protection dans différents aspects de l’application du RGPD. D’un côté, on note une interprétation très stricte du RGPD à la lumière des lignes directrices du CEPD et l’étude de certains considérants. Cependant, posant des exigences très lourdes sur les responsables de traitement, la CNIL dans sa décision peine à montrer la voie de la conformité en se contentant majoritairement de réfuter en bloc les moyens de la société et d’expliquer pourquoi les solutions retenues par cette dernière ne sont pas conformes. Reste donc des dispositions d’interprétation stricte avec très peu de marge de manœuvre, susceptibles de fortes sanctions mais avec un flou quant à la bonne conduite à adopter en la matière. La décision apporte donc beaucoup sur le plan juridique mais dégage finalement peu de solutions quant à l’orientation à prendre pour respecter la conformité tant attendue.
Il est à noter que Google a fait appel de la décision, affaire à suivre donc.
SOURCES :
MAXIMIN (N), « Application du RGPD par la CNIL : précisions et amende record pour Google », Dalloz actualité, 28 janvier 2019, édition du 6 février 2019
ANONYME, « Données personnelles : google va faire appel de l’amende record infligée par la CNIL », www.lemonde.fr, mis en ligne le 24 janvier 2019
ANONYME, « La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC », www.cnil.fr, mis en ligne le 21 janvier 2019
COMITÉ EUROPÉEN DE LA PROTECTION DES DONNÉES, « Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant »,
« Lignes directrices sur le consentement au sens du règlement 2016/679 », « Lignes directrices sur la transparence au sens du règlement (UE) 2016/679 », www.cnil.fr
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
Règlement général sur la protection des données (articles 4, 12, 13, 56, 60, 64, 65)
COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS, « Délibération n°SAN-2019-001 du 21 janvier 2019 », www.legifrance.gouv.fr, mis en ligne le 22 janvier 2019