RGPD : pourquoi la CNIL a infligé 50 millions d’euros de sanction à Google

Alors qu’elle achève son mandat à la CNIL, Isabelle Falque Pierrotin pourra s’enorgueillir d’avoir fait infliger à l’un des géants du Net une sanction monstre : 50 millions d’euros, soit le plus haut niveau jamais prononcé en France sur l’autel du règlement général sur la protection des données personnelles (RGPD).

La CNIL avait prévenu dès avril 2018 qu’avec le RGPD, l’Europe allait jouer sa crédibilité. Sa décision du 21 janvier 2019 passe du vœu à l’acte. Non seulement elle fixe une véritable doctrine, mais elle est un puissant signal d’alarme à l’attention de ceux qui pensaient pouvoir temporiser ou passer entre les gouttes.

Cette décision est évidemment susceptible de recours. Un recours au fond devant le Conseil d’État dans les 4 mois, puisque l’entreprise épinglée est installée aux États-Unis. Précision de rigueur : il n’est pas suspensif. Google LLC devra donc payer ces 50 millions d’euros, qui seront encaissés non par la CNIL, ou les parties, mais par le Trésor public.

Comment est née cette décision ? Alors que le RGPD n’avait que quelques heures d’application, les 25 et 28 mai, la Commission a été saisie de deux plaintes collectives. Dans une main NOYB, association cofondée par Maximilien Schrems, l’étudiant autrichien qui avait fait tomber quelques années plus tôt le Safe Harbor. Dans l’autre, la Quadrature du Net qu’on ne présente plus. Ces deux organismes représentent, de manière cumulée, 9 974 personnes.

NOYB critique en particulier les conditions générales d’utilisation de Google, dont le refus empêcherait l’internaute d’utiliser un terminal Android. LQDN n'était pas focalisée sur Android mais reproche pour sa part au géant américain sa politique d’analyse comportementale et de ciblage publicitaire, parmi de nombreuses autres critiques.

La CNIL, compétente contre Google LLC

Deux axes seront retenus par la CNIL : un défaut d’information et un défaut de base légale. Dans les échanges de pièces, Google LLC a avant tout tenté de dénier à l’autorité française une quelconque compétence territoriale. Cette ligne est presque classique, voire mécanique dès lors qu’une entité étrangère est inquiétée dans un pays européen.

Selon sa grille d’analyse du règlement, seul l’homologue irlandais de la commission aurait les mains sur un tel dossier. Pourquoi ? Tout simplement parce que Google affirme disposer dans ce pays de son établissement principal européen.

Pour plaider en ce sens, elle a mis sur la table une pluie d’arguments. L’ensemble des contrats publicitaires y sont domiciliés. Elle y embauche 3 600 salariés. On y trouve aussi un responsable de la protection des données personnelles. L’article 56 du RGPD devrait donc jouer à plein régime et entraîner un dépaysement du dossier en Irlande, pays que connaît bien Google.

La formation restreinte de la CNIL n’a pas été convaincue. Plutôt que sur l’amas de moyens, elle se focalise sur l’identification du pouvoir décisionnaire dans les finalités et les moyens de traitements en cause. Or, Google Irlande ne semble pas pouvoir endosser ce rôle. Par exemple, à la date des plaintes collectives, Google Irlande n’avait désigné aucun délégué à la protection des données personnelles en charge de l’ensemble de l’Union européenne.

En outre, Google LLC est bien celle qui a développé Android. Enfin, les nouvelles conditions générales ont certes programmé des transferts de responsabilité sur certains traitements à l’entité irlandaise, mais leur date d’entrée en vigueur a été fixée au 22 janvier 2019, soit postérieurement à la date de saisine de la CNIL.

Conclusion, faute d’avoir pu identifier un établissement principal en Europe, la CNIL s’est considérée compétente pour traiter de ce dossier. Une possibilité ouverte par le règlement.

Cette analyse n’est pas « que » procédurale ou de pure forme. Par effet de poudre, elle devrait inspirer l’ensemble des autorités de contrôle par répliques, qui alourdiront l’ardoise finale. 

Pas de saisine du comité européen de la protection des données

Il pourrait paraître surprenant que Google n’ait pas anticipé ces questions : le RGPD est certes applicable depuis le 25 mai 2018, mais sa publication au Journal officiel de l’Union européenne avait déjà deux ans d’âge. Inversement, la doctrine et la jurisprudence sont encore maigres, quand bien même le groupe de l’Article 29 qui rassemble l’ensemble des autorités de contrôle avait déjà publié plusieurs documents traitant de ces questions majeures.

Pour tenter d’échapper aux griffes françaises, l’entité américaine a d’ailleurs suggéré chaudement que ce dossier soit transmis au comité européen de la protection des données (CEPD), en charge de régler les incertitudes d’interprétation.

La commission a tranché, sans retenue : inutile de saisir le CEPD puisqu’il n’y a aucune incertitude sur l’interprétation du règlement. Google n’avait pas d’établissement principal en Europe à l’heure de la saisine. Pour s’en convaincre, elle souligne que même son homologue irlandais a rejeté l’idée d’un guichet unique, au regard de la situation de l’entreprise américaine. 

Et à Google qui mettait en cause l’absence de procédure de coopération entre les autorités de contrôle européennes, la CNIL relève qu’elle a justement transmis dès réception l’ensemble des plaintes à ses homologues. Qu’ainsi, il ne pouvait lui être reproché un tel défaut.

Pas d’atteinte aux droits de la défense

Les services juridiques de Google se sont attaqués à d’autres fronts. Les plaintes de la Quadrature du Net tout comme celle de NYOB seraient ainsi irrecevables. Un coup d’épée dans l’eau.

Pour la CNIL, sa compétence n’est pas tributaire de ces questions de recevabilité. Elle est chargée en France de veiller à la bonne application du RGPD, et son rôle n’est pas conditionné à ces saisines. Quand bien même le serait-il, l’autorité prévient que les statuts respectifs de ces associations sont visiblement conformes avec les plaintes et tout comme le mandat de représentation signé par environ 10 000 personnes.

Google LLC s’est également plaint d’une atteinte au droit à un procès équitable, puisque les documents reçus de la CNIL ont été rédigés en français seulement. Là encore la commission a asséné un coup de balai sans pudeur.

D’un, Google dispose d’une antenne française qui a reçu l’ensemble des pièces. De deux, le code des relations entre le public et les administrations impose l’usage du français. De trois, aucune norme n’oblige à fournir une telle traduction. Enfin, la société dispose des ressources suffisantes pour organiser une telle opération.

Sur ces points, comme sur ceux des délais rythmant cette procédure, la CNIL n’a vu la moindre atteinte aux droits de la défense de l’entreprise américaine.

La thèse du continuum entre le téléphone Android et les traitements Google

Google a bien développé d’autres arguments égrainés au fil des 31 pages que compte la délibération. Dans un regrettable méli-mélo, le rapporteur de la CNIL, François Pellegrini, aurait « confondu le système d’exploitation Android et le compte Google », qui sont des services distincts.

Les utilisateurs disposent bien d’un choix lors de la configuration de l’appareil, contrairement au gloubi-boulga des accusations. Enfin, le scénario de départ, à savoir des utilisateurs créant un nouveau compte lors de la configuration d’un nouvel appareil, ne concerne qu’une faible population, 7 % des utilisateurs seulement.

Ce mur de remarques a été réduit à coup de pioche par la CNIL. Elle distingue bien Android et la création d’un compte Google, néanmoins il existe un parcours utilisateur, un « continuum » nourri par les éléments de langage assénés par Google. 

Ce cheminement progressif se constate par exemple lorsque l’entreprise soutient devant l’utilisateur qu’en créant un compte, son appareil « fonctionne[ra] mieux » ou dans la négative, qu’il ne pourra « activer les fonctionnalités de protection  ». Quant à la part des utilisateurs concernés, aussi faible soit-elle, elle n’enlève rien aux pouvoirs de la CNIL, qui dispose d’une vaste marge d’appréciation.

Une information qui fait défaut

Viennent maintenant les reproches de fond adressés à Google et avant tout, le défaut d’information.

Ces informations préalables souffrent d’un manque cruel « d’accessibilité, de clarté et de compréhension ». Autant d’entailles aux obligations pesant sur les épaules des responsables de traitements.

Google se voit reprocher d’avoir « excessivement éparpillé dans plusieurs documents » ces informations. Des « règles de confidentialité et condition d’utilisation », subdivisées en « conditions d’utilisation » et « règles de confidentialité » accessibles par lien, qui recèlent de boutons et autres liens « à activer pour prendre connaissance d’informations complémentaires »…

Une ergonomie taillée pour fragmenter les informations, selon la CNIL, obligeant l’utilisateur non seulement à fouiller, mais au surplus à recouper des données pour tenter d’en comprendre les traitements.

La CNIL cite d’ailleurs trois exemples significatifs. Le premier concerne les publicités :

Le deuxième la géolocalisation :

Le troisième, la durée de conservation des données :

Des informations peu claires

L’information n’est pas seulement éparpillée, elle est également peu claire. Il faut dire que les sources d’approvisionnement sont considérables, entre les données glanées depuis le téléphone, Gmail, YouTube, Google Analytics, l’historique de navigation, les applications, le carnet d’adresses, la géolocalisation, les moyens de paiements, les contenus créés par l’utilisateur, les données liées à l’adresse IP, à l’horodatage, les recherches effectuées, les capteurs physiques, les centres d’intérêt...

La combinaison de ces éléments révèle en outre des informations très précises sur la vie privée de chaque internaute, rendant encore plus impérieux ce niveau de clarté et d’accessibilité. À la lecture des différentes pages, les propos sont au contraire jugés trop généralistes. Google promet des « services personnalisés », « améliorés »… Impossible du coup pour l’usager de « mesurer la portée des principaux traitements sur sa vie privée ».

Ce flou se constate également pour les traitements publicitaires, où Google mélange consentement et intérêt légitime, embrouillant davantage encore l’abonné absorbé dans ses services.

La communication de l’entreprise présente des défauts similaires cette fois sur les durées de conservations des données. Google s’autorise à stocker certaines données « pendant de longues périodes pour des raisons précises », sans détailler cette finalité ni fixer de durée.

Il est vrai que le service en ligne offre des outils parfois précieux pour jauger ces paramètres (notamment par le Dashboard), mais la commission estime que ces efforts sont trop tardifs puisque postérieure à la création du compte, l’étape évidemment clé.

Un manque de base légale

L’autre grand pilier de cette délibération est le manque de base légale pour la mise en œuvre des traitements. L’article 6 du RGPD est ici mobilisé. C’est lui qui déroule les six scénarios autorisant de telles opérations sur les données personnelles. La voie royale est évidemment le consentement, mais celui-ci est concurrencé par la poursuite des intérêts légitimes, le contrat ou encore les obligations légales.

Google affirme que le consentement sert de socle à la personnalisation de la publicité. Or, le RGPD exige que ce consentement soit spécifique, univoque et éclairé. Sans l’une de ces qualités, l’utilisateur n’est pas censé avoir donné son plein feu vert à la digestion de ses données personnelles.

La CNIL réitère ses reproches : des informations disséminées, peu claires, rendant difficiles une vue d’ensemble, avec des exemples à la clé : l’utilisateur sait que Google présente des annonces personnalisées, en relation avec « les applications partenaires de Google », mais, remarque la CNIL, sans pouvoir « prendre connaissance, par exemple par le biais de liens cliquables, des services sites et application de Google auxquels la société fait référence ».

Impossible donc de comprendre la portée, la nature et le volume des données exploitées à des fins publicitaires. Impossible en conséquence d’émettre de consentement.

Haro sur les options précochées

Dans le cheminement de la création du compte, un autre problème est mis à l’index. Lorsque l’utilisateur se contente de cliquer sur Accepter, sans fouiller les options de configuration, il accepte en bloc l’ensemble des paramètres précochés par défaut dans cette autre page.

Le consentement n’est ainsi pas spécifique à ces conditions, contraires au RGPD. Ce point devrait inspirer nombreux sites, dont ceux de la presse en ligne, qui usent et abusent de ce procédé...

La CNIL donne toutefois au point 160 de sa délibération des éléments de sa doctrine. Elle se satisferait d’un consentement regroupant plusieurs traitements, mais à condition que les finalités soient proches et que l’utilisateur ait pu donner un consentement spécifique pour chaque groupe.

50 millions d’euros et la publicité de la décision

Pour justifier ces 50 millions d’euros d’amende décidés sans mise en demeure préalable outre la publicité de sa délibération – deux options prévues par le RGPD – la CNIL retient plusieurs arguments.

Elle note que les manquements perdurent au 21 janvier 2019, et que Google n’y a donc pas mis fin spontanément. Les faits sont également jugés graves, touchant le cœur du modèle économique de l’entreprise américaine, avec un nombre important de personnes touchées.

Les traitements sont d’ampleur au regard des parts de marché ou des services considérés, de sorte que Google « dispose d’opérations de combinaison au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs ».   

Réaction de la Quadrature et de Maximilien Schrems

Max Schrems, directeur de NOYB se dit « très heureux qu’une autorité européenne de protection des données utilise pour la première fois les possibilités du RGPD pour sanctionner des violations claires du droit ». Selon lui, trop souvent les géants du Net n’ont « mené qu’une mise en conformité partielle » de leurs services. Désormais, « il est important que les autorités indiquent clairement que cela ne suffit pas ».

La Quadrature du Net salue cette sanction, non sans relativiser sa portée. Son action collective ne s’est en effet pas limitée au périmètre épinglé par la CNIL, mais « dénonçait surtout le ciblage publicitaire imposé sur YouTube, Gmail et Google Search en violation de notre consentement ». 

L’initiative attend donc que la CNIL poursuive ses investigations sur ces autres services. « Nos plaintes visaient avant tout à trancher un autre débat, bien plus fondamental : que la CNIL reconnaisse que notre consentement n’est valide que s’il est librement donné. Que la CNIL explique clairement que Google ne peut pas nous obliger à accepter son ciblage publicitaire afin de pouvoir utiliser ses services ».

L’association, qui veut défendre les libertés à l’heure du numérique, craint surtout l’entrée en vigueur des nouvelles conditions générales d’utilisation à partir d’aujourd’hui. Elles permettront en effet à Google d’élire la « CNIL irlandaise » comme autorité chef de file. Or, cet homologue serait « en sous-effectif et débordée de plaintes », Google pouvant ainsi « espérer y faire traîner sa procédure pendant des années ».

« Nous attendons de la CNIL qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre YouTube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise » ajoute la Quadrature.