par Gabriel Avigdor

Ce 21 janvier 2019, la Commission Nationale de l’Informatique et des Libertés (CNIL) a infligé à Google LLC une amende de 50 millions d’euros pour violation du Règlement Général sur la Protection des Données (le “RGPD“).

Dans sa communication du 21 janvier 2019, l’autorité française a infligé à Google l’amende la plus élevée depuis le 25 mai 2018, considérant que Google avait commis des infractions graves au RGPD. Ces violations concernent la mauvaise information des utilisateurs, et la violation du consentement pour les services publicitaires ciblés. La décision complète de 31 pages est disponible ici.

UNE DECISION PARTIELLE ! Il est important de noter que cette décision est limitée à l’enquête de la CNIL relative à la configuration d’un nouvel appareil Android qu’un utilisateur utilise pour la première fois. Les investigations ne concernent uniquement les notices d’informations fournies aux utilisateurs lors de la création d’un compte utilisateur lors de configuration de leur nouveau téléphone Android et non pour les autres services. Par conséquent, vu que la plainte complète n’a pas encore été examinée par la CNIL, cette affaire est loin d’être terminée. La portée de l’affaire n’est donc que partielle, et les investigations complètes sont plus largement liées à la publicité ciblée sur les plateformes Youtube, Gmail et Google Search vont se poursuivre. Nous verrons quelles seront les conclusions de la CNIL sur la manière avec laquelle Google pourrait “forcer” les utilisateurs à consentir au partage de leurs données via les services de publicité ciblée.

On peut donc s’attendre à d’autres rebondissements la part de la CNIL dans les prochains mois à venir. Cette affaire n’est que le début d’une longue série. Les deux organisations ont également déposé (comme expliqué ci-dessous) des plaintes similaires contre d’autres GAFAM et ce, dans plusieurs juridictions.

________________________________

CONSTATATIONS DE LA CNIL

Après investigations, la CNIL a considéré que Google n’avait pas respecté ses obligations sous le RGPD pour trois raisons principales : (1) manque de transparence (art. 5 du RGPD), (2) information insuffisante (art. 12 et 13 du RGPD) ; et (3) collecte non valide du consentement (art. 7 du RGPD).

Les deux plaintes ont été déposées par l’organisation à but non lucratif “None Of Your Business” (NOYB) créée par Max Schrems et l’association La Quadrature du Net, une association française qui regroupe les plaintes de 9’974 personnes. Ces deux organisations reprochaient aux services de Google, dont les services de publicité ciblée sous Android OS, de violer le principe de transparence, de traiter les données sur la base d’un fondement juridique valable (art. 6 RGPD) tel que le consentement. Selon les plaignants, en ne respectant pas ses obligations, Google aurait contraint les utilisateurs à partager une quantité massive de données personnelles sans leur consentement et compromettant ainsi leur vie privée.

Les plaintes déposées auprès de la CNIL et les griefs émis contre Google viennent d’être acceptées et confirmées par la CNIL dans ses conclusions du 21 janvier 2019. Il est intéressant de lire sur le blog de NOYB que Google vient de déménager son siège européen en Irlande à compter du 22 janvier 2019, et aura pour autorité principale de référence (lead supervisory authority) l’autorité irlandaise (Irish Data Protection Commision) de protection des données.

Considérations intéressantes de la CNIL. Dans ses considérants, l’autorité française explique qu’avec les services actuels de Google, vu notamment la manière avec laquelle les données des utilisateurs sont collectées, le volume des traitements et le type de données collectées

il résulte que ces données collectées via les services de publicité ciblée révèlent des pans entiers de la vie d’une personne

Ces traitements étant considérés comme très intrusifs pour les individus, le risqué pour la sphère privée est élevé. La CNIL a également noté dans ses considérants que le modèle économique de Google reposait en partie sur ces services de publicité ciblée.

Enfin, la CNIL nous explique que, pour l’essentiel, malgré les efforts de Google pour modifier ses processus, l’entreprise n’est toujours pas conforme au RGPD. Cela signifie que tant que Google ne se conformera pas au Règlement, elle pourra être confrontée à d’autres plaintes et, éventuellement, à d’autres amendes, à moins de changer radicalement toutes ses notices d’informations et la manière de collecter le consentement.

________________________________

BREF RETOUR SUR L’HISTOIRE DE CETTE AFFAIRE

Deux plaintes massives les 25 et 28 mai 2018 pour 7,6 milliards d’euros

25 mai 2018. Max Schrems – l’étudiant autrichien militant de la protection de la vie privée qui a causé l’annulation du Safe Harbor par la Cour de justice européenne – a fondé une organisation à but non lucratif appelée “None Of Your Business” (NOYB) pour aider les consommateurs à déposer plainte et faire valoir leurs droits contre les grandes entreprises, telles que les GAFAM, et leurs permettre de saisir les autorités pour faire respecter et protéger leur vie privée. Le jour où le Règlement Général sur la Protection des Données est devenu exécutoire au 25 mai 2018, Max Schrems a poursuivi Instagram (Belgique), WhatsApp (Hambourg), Facebook (Autriche) et Android (France) avec des plaintes massives totalisant quelques € 7,6 milliards via l’ONG NOYB pour violation du RGPD.

28 mai 2018. Le 28 mai 2018, le groupe français de défense des droits numériques “La Quadrature du Net” a déposé une plainte respectivement contre Google, Apple, Facebook, Amazon et LinkedIn devant la CNIL au nom de 12.000 personnes pour traitement illicite de leurs données personnelles.

La sanction de 50 millions d’euros infligée aujourd’hui par la CNIL n’est qu’une sanction contre une seule entreprise – Google LLC – et dans une seule juridiction. D’autres sanctions sont très probablement à venir si d’autres autorités suivent les arguments et considérations de la CNIL, de plus comme nous l’avons mentionné, cette sanction n’est qu’une décision partielle de toute l’affaire liées à la publicité ciblée et au consentement forcé des utilisateurs.

En termes de procédure, Google peut faire appel contre cette sanction et contester l’amende (edit 24-janv-2019) ce que l’entreprise vient d’annoncer publiquement. Même si l’amende reste faible par rapport aux €4mia qu’elle peut encourir en cas d’amende maximale, le montant est élevé pour cette affaire. En faisant appel contre cette décision, Google va initier ce qui sera un premier précédent dans l’interprétation des exigences du RGPD sur l’information et sur comment recueillir valablement le consentement, en particulier dans le domaine de la publicité ciblée.

L’appel de Google est par conséquent, hautement stratégique. Ne pas contester cette amende laisserait la place à d’autres sanctions plus sévères, vu que l’affaire n’est encore que partielle. De plus, cela pourrait être perçu comme une manière indirecte de reconnaître sa responsabilité et la mise en place de pratiques non-conformes. Enfin, Google se défend en arguant qu’elle a travaillé dur pour mettre en place une collecte de données afin de respecter la transparence. Nous verrons si son travail aura été suffisant ou non.

________________________________

L’AFFAIRE VUE D’UN PEU PLUS PRES

La CNIL fournit les explications suivantes pour justifier la sanction contre Google :

• Violation du principe de transparence : le principe de transparence concerne la manière d’informer les individus sur les activités de traitement des données opérés par le responsable de traitement. Ceci prend généralement la forme de politiques de confidentialité ou de notices d’informations (selon les termes utilisés). L’information contenue dans ces notices se doit d’être concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant (art. 12 al. 1 GDPR).

Google conforme ? Mmh, pas vraiment. Google a disséminé ces informations un peu partout dans sa plate-forme et dans ses pages liées à la confidentialité, lesquelles ne sont accessibles que par des liens ou des boutons sur lesquels il faut cliquer pour aller plus loin et en savoir plus. Cette méthode chronophage décourage la plupart des utilisateurs de trouver les options pour désactiver ou configurer le niveau de protection de la sphère privée. Cette manière de faire rend l’accès et la compréhension à ces pages et options difficile. Au final, toutes ces informations n’étaient accessibles qu’après 5 ou 6 actions, et après plusieurs étapes pour obtenir une liste des données collectées. Ainsi, l’information fournie par Google n’était pas claire, trop vague et décrite de façon trop générique. Si personne ne prend le temps de lire ces informations, elles ne sont pas fournies correctement et sont contraires au RGPD et au principe de transparence. De plus, Google n’avait pas informé les utilisateurs sur la durée de conservation de certaines données personnelles.

• Consentement invalide : Pour rappel, le consentement n’est pas toujours nécessaire. Mais lorsqu’il est utilisé comme fondement juridique pour traiter des données personnelles, il se doit d’être recueilli de manière particulière. Selon la CNIL, Google a clairement, et de manière plutôt crasse, manqué à ses obligations de requérir valablement le consentement des utilisateurs pour traiter leurs données personnelles. En l’espèce, la CNIL a constaté une telle violation pour les options de publicité personnalisée, selon les deux motifs suivants :

Le consentement n’était pas éclairé. Cela signifie que les utilisateurs ne sont pas en mesure de comprendre effectivement la portée de l’utilisation de leurs données pour les activités de traitement. Par exemple, dans la section “publicité personnalisée“, il n’est pas possible de voir combien de services sont utilisés, ni combien de sites et applications sont liées au traitement de ces données. En somme a aucune information n’est disponible de manière claire sur le volume de données personnelles que ces services traitent ou pourront traiter ou combiner avec d’autres services.

Le consentement n’était ni spécifique, ni univoque (pas ambigu) malgré le fait que les utilisateurs pouvaient sélectionner des options dans les paramètres de configuration.

Pour rappel, l’article 7 du RGPD prescrit que pour être valide :

la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples

Avec les services et options de publicité ciblée de Google, les utilisateurs ne pouvaient accéder à ces paramètres qu’en cliquant sur “plus d’options” et n’avaient pas accès immédiatement à ces options. Une étape supplémentaire était donc nécessaire et plus il y a d’étapes, plus l’on décourage l’utilisateur de passer du temps à configurer ces options. De plus, la case à cocher pour l’option de “publicité ciblée” était pré-cochée par défaut, ce qui oblige l’utilisateur à la désactiver manuellement. L’option reste active si l’utilisateur ne fait rien, à moins qu’il y ait une action de sa part pour désactiver l’option. L’utilisation de cases pré-cochées est contraire au principe de protection des données par défaut (Privacy-by-default) selon l’art. 25 RGPD. Cette disposition exige de désactiver tous les réglages ou paramètres par défaut afin d’appliquer une protection maximale de la confidentialité à l’utilisateur. Il appartient dès lors à celui-ci de décider s’il souhaite augmenter le niveau “d’intrusion” dans sa vie privée pour accepter de partager ses données personn

Enfin, Google n’a fourni qu’une seule case à cocher pour plusieurs finalités ce qui apparaît comme suit :

“J’accepte les conditions générales de Google” et “J’accepte que mes données soient utilisées comme décrit ci-dessus et comme indiqué dans la politique de confidentialité“

Pour la finalité du traitement, on appelle cela un consentement groupé (bundled consent), qui n’est pas spécifique à chaque finalité (but du traitement) et ne fournit aucun détail afin de permettre à l’utilisateur de choisir quels buts du traitement il accepte pour le traitement de ses données. Une telle pratique n’est pas conforme aux exigences du RGPD et viole les articles 7, 12 et 13 du RGPD sur le consentement valable et l’information complète.  Lorsque plusieurs finalités de traitement existent, les utilisateurs doivent avoir la possibilité de ne consentir qu’aux finalités qu’ils souhaitent. Le fait d’avoir plusieurs finalités (purpose) incluses et cumulées, ne permet pas de les découpler et de les sélectionner au cas par cas.

________________________________

CES EXIGENCES SONT-ELLES NOUVELLES AVEC LE RGPD?

Oui et non.

Oui, les exigences relatives à la collecte d’un consentement valide ont été considérablement renforcées. Il n’est pas aussi facile qu’auparavant de recueillir un consentement valide et, comme ce cas le démontre, il y a des personnes et des autorités qui peuvent avoir un mot à dire et imposer une amende à votre organisation.

Non, les principes du consentement, de la base juridique valable (legal basis for processing) et de l’information des personnes concernées par une déclaration de confidentialité ne sont pas nouveaux en Europe ni en Suisse ou dans les pays ayant adoptés une législiation complète sur la protection des données. L’obligation de traiter les données à caractère personnel selon un motif légitime existait déjà sous l’empire de la directive 95/46/CE et s’applique aussi sous la loi fédérale sur la protection des données en Suisse (LPD). Une entreprise responsable de la collecte et du traitement de données personnelles (data controller) doit justifier le traitement sur la base d’un motif valable.

Pour rappel, le RGPD propose 6 bases légales différentes pour justifier le traitement des données personnelles (article 6 du RGPD), lesquelles sont :

• le consentement ;
• l’exécution d’un contrat ;
• le respect d’une obligation légale ;
• protéger les intérêts vitaux des personnes physiques ;
• l’exécution d’une mission effectuée dans l’intérêt public ou dans l’exercice de l’autorité publique ; et
• l’intérêt légitime.

En l’absence de base juridique valable, le traitement devient illicite et le traitement des données doit être arrêté. Chacune de ces bases légales a ses avantages et ses inconvénients, mais lorsque vous utilisez le consentement, vous devez veiller à le recueillir selon les prescriptions strictes du RGPD (voir ci-dessus). Avec le RGPD, le consentement est devenu plus difficile à obtenir et lorsqu’il n’est pas obtenu valablement le traitement devient illégal.

Voilà ce qui est arrivé à Google LLC dans cette affaire liée à la publicité ciblée, mais qui n’est à ce jour que la première partie d’une longue série de péripéties des GAFAM en 2019. Affaires à suivre !

________________________________

Par Gabriel Avigdor | NTIC.ch | Digital Lawyer

amende administrativeavocatCNILconseils juridiquesconsentementDirective 95/46GooglelitigeMax SchremsNone of your businessNTICPrivacyprotection des donnéesquadrature du netRGPDsanctionyoutube