La sanction CNIL de 50 millions d’euros contre la société Google confirmée par le Conseil d’Etat

Publié le - Mise à jour le

Retour aux actualités

 

 Le Conseil d’Etat a confirmé, dans son arrêt du 19 juin 2020, la décision de sanction de la société Google LLC par la CNIL rendue le 21 janvier 2019 au vu des manquements constatés au RGPD (à savoir un manque de transparence, une information insatisfaisante et l’absence de consentement valable pour la personnalisation de la publicité) et faisant suite aux plaintes collectives de deux associations portant sur les traitements de données personnelles des utilisateurs français du système d’exploitation Android mis en œuvre par cette société.

 

La société Google a indiqué dans son recours devant le Conseil d’Etat tendant notamment à annuler la décision de la CNIL (délibération n°SAN-2019-001) qu’elle était entachée d’irrégularités et d’erreurs de droit. Le Conseil d’Etat a rejeté la requête de la société Google et confirmé la décision de la Commission.

1. Sur la compétence de la CNIL, la régularité de la procédure et le respect des droits de la défense

  • La société Google LLC (Etats-Unis) a estimé qu’il appartenait à l’autorité de contrôle Irlandaise et non à la CNIL de statuer dans ce dossier du fait de l’établissement principal en Irlande de la société Google Ireland.  Or, le Conseil d’Etat a relevé que la société Google Ireland ne disposait pas à la date de la sanction de la CNIL d’un pouvoir décisionnel quant aux finalités et aux moyens des traitements litigieux et de ce fait la société Google LLC ne disposait donc pas à cette date d’établissement principal (c’est-à-dire d’un lieu où sont prises les décisions quant aux finalités et aux moyens du traitement transfrontalier) dans l’Union européenne au sens du RGPD. Aucune autorité chef de file (autorité de contrôle de l’établissement principal) ne pouvait en conséquence être désignée. Le Conseil d’Etat a ainsi confirmé que la CNIL était compétente pour instruire les plaintes collectives des associations (None of Your Business et la Quadrature du Net) et sanctionner la société Google.

 

  • La société Google a en outre contesté la régularité de la procédure dans la mesure où le Comité européen de la protection des données (CEPD) garant de l’application cohérente du RGPD (donnant des avis et des décisions contraignantes pour trancher les différends entre autorités de contrôle) n’avait pas été saisi. Le Conseil d’Etat a considéré qu’en l’absence de divergence entre les autorités de contrôle, il n’y avait pas eu d’irrégularité dans la procédure.

 

  • Enfin, la société Google a soutenu que le décret de 2005 d’application de la loi sur la protection des données personnelles en vigueur à la date des faits méconnaissait les droits de la défense et le droit au procès équitable au vu des brefs délais de la procédure devant la CNIL. Le Conseil d’Etat a rejeté cet argument car la société Google a pu bénéficier d’un délai supplémentaire de 15 jours pour répondre par écrit et d’un report d’audience de quelques jours lui permettant de présenter des observations orales.

 

2. Sur les manquements constatés d’une part, aux obligations d’information et de transparence et d’autre part, aux règles relatives au consentement pour les traitements aux fins de personnalisation de la publicité

  • S’agissant de l’information délivrée à l’utilisateur lors de la création d’un compte Google à partir d’un téléphone fonctionnant avec le système d’exploitation Android, la société Google a soutenu que l’architecture retenue visait à informer les utilisateurs de manière claire et intelligible à partir d’une approche à deux niveaux. La CNIL avait toutefois notamment relevé que des informations (sur les finalités, les durées de conservation ou les catégories de données pour la personnalisation de la publicité) étaient éparpillées sur plusieurs pages et que l’utilisateur devait parfois accomplir jusqu’à six actions pour y accéder. Le Conseil d’Etat validant l’analyse de la CNIL a considéré que la société Google a manqué à ses obligations d’information et de transparence au regard du RGPD car l’arborescence qu’elle a choisie apparaît, par l’éparpillement de l’information, de nature à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs alors que les traitements en cause sont intrusifs eu égard au nombre et à la nature des données collectées.

 

  • De plus, le Conseil d’Etat a rappelé que le consentement (en tant que base légale du traitement) devait être libre, spécifique, éclairé et univoque et ne pouvait être qu’un consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles. Ainsi, il a considéré que les modalités de recueil du consentement des utilisateurs en l’espèce ne répondaient pas aux exigences du RGPD car l’information donnée par la société Google sur la portée du traitement aux fins de personnalisation de la publicité était insuffisante et le consentement recueilli au moyen d’une case précochée était non valide.

 

3. Sur la motivation et le montant de la sanction CNIL

  • Après avoir rappelé que l’administration devait motiver ses décisions de sanction en énonçant les considérations de droit et de fait qui constituent le fondement de la décision, le Conseil d’Etat a toutefois précisé qu’aucune disposition n’imposait à la CNIL de procéder à une explicitation du montant de ses sanctions et a estimé que le montant de cette sanction ne revêtait pas un caractère disproportionné eu égard à la gravité et à la durée des manquements, au plafond des montants des sanctions pécuniaires au vu du RGPD et à la situation financière de la société Google.

Par cet arrêt, le Conseil d’Etat a conforté la position de la CNIL quant au message fort qu’elle a adressé dès le mois de janvier 2019 aux entreprises situées hors de l’Union européenne pour que le droit de la protection des données personnelles soit respecté dès lors qu’un utilisateur français est concerné par un traitement de données personnelles.

Arrêt du Conseil d’Etat, 19 juin 2020, n° 430810

 

Vanessa Younès-Fellous, avocate en droit de la protection des données personnelles et Formatrice ELEGIA

 

Découvrez notre formation d'actualité - Les audits dans le contexte du RGPD

Formations qui pourraient vous intéresser

tealium