La société GOOGLE représente l’une des GAFA les plus surveillées par la CNIL, à raison de l’ampleur de l’utilisation de ses services au sein du public français, celle-ci opérant en quasi-monopole dans le domaine des services de courriers électroniques pour les particuliers.
L’extra-territorialité de la société GOOGLE, dont le siège principal se situe aux Etats-Unis, empêchait jusqu’ici les autorités européennes de prononcer des sanctions à son encontre. L’entrée en vigueur du RGPD le 25 mai 2018 a mis un terme à cette situation précaire, puisqu’il permet aux autorités de contrôle d’agir à l’encontre d’un responsable de traitement, dès lors que les données à caractère personnel traitées concernent des personnes situées dans un Etat membre de l’Union européenne.
La société GOOGLE avait tenté d’invoquer le système dit du « guichet unique » pour renvoyer l’affaire devant les autorités irlandaises, en faisant valoir que son établissement principal dans l’Union européenne se situait en Irlande.
La formation restreinte de la CNIL rappelle toutefois qu’il résulte des dispositions du RGPD que, pour pouvoir être qualifié d’établissement principal, l’établissement concerné doit disposer d’un pouvoir de décision vis-à-vis des traitements de données à caractère personnel en cause. Tel n’est pas le cas en l’espèce, l’établissement irlandais de la société GOOGLE ne disposant en réalité d’aucun pouvoir décisionnel quant aux finalités et moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte.
En l’absence d’établissement principal, le mécanisme du guichet unique n’a pas lieu d’être, de sorte que la CNIL s’est reconnue parfaitement compétente pour trancher les plaintes reçues d’association à l’encontre de la société GOOGLE.
La CNIL a ainsi relevé les deux manquements au Règlement général sur la protection des données de la part de la société GOOGLE.
1 – Un manquement aux obligations de transparence et d’information
La CNIL estime que la société GOOGLE, malgré de nombreux progrès réalisés ces dernières années, ne respecte pas les dispositions de l’article 12 du RGPD, imposant la délivrance d’informations claires, compréhensibles et aisément accessibles aux personnes concernées par le traitement des données à caractère personnel.
En effet, les informations qui doivent être communiquées aux utilisateurs sont excessivement éparpillées dans plusieurs documents, lesquels comportent des boutons et des liens qu’il est nécessaire d’activer pour prendre connaissance d’informations supplémentaires. Un tel choix ergonomique entraine une fragmentation des informations obligeant l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents.
Le traitement des données est par ailleurs particulièrement massif et intrusif, en raison du nombre de services proposés (plus de 20), de la quantité et de la nature des données traitées. La formation restreinte relève encore que les informations sur le traitement des données sont trop vagues et que la durée de conservation de certaines données n’est même pas indiquée.
2 – Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité
La formation restreinte observe que le consentement des utilisateurs n’est pas suffisamment éclairé, dès lors que l’information est éparpillée dans plusieurs onglets.
Surtout, le consentement donné par l’utilisateur n’est aucunement « spécifique » et « univoque », tel qu’imposé par le RGPD pour chaque finalité du traitement considéré. L’utilisateur doit faire la démarche de cliquer sur « plus d’options » pout accéder au paramétrage de la publicité personnalisée et l’affichage d’annonces personnalisées est pré-coché par défaut, de sorte que l’utilisateur n’effectue pas d’acte positif pour exprimer son consentement.
Enfin, avant de créer son compte, l’utilisateur est invité à cocher la case « j’accepte les conditions d’utilisation de Google », ce qui le conduit nécessairement à consentir en bloc à toutes les finalités de traitement poursuivies par la société Google.
Les manquements susvisés pourraient sembler anodins en comparaison notamment des failles de sécurité sanctionnées récemment par la CNIL, susceptibles d’avoir entrainé l’évaporation massive de données susceptibles de toucher à la vie privée des personnes concernées. En effet, par la présente délibération, la CNIL a principalement souhaité faire un « fusillé pour l’exemple » parmi les GAFA et démontrer qu’elle entend bien exploiter les nouveaux pouvoirs de sanction qui lui ont été offerts par le RGPD.
