Pour 50 millions d’euros !
C’est terrible les effets du déconfinement…
Le Conseil d’État a confirmé la sanction de 50
millions d’euros prononcée par la Cnil contre « Gogol » pour manque
de transparence, information insatisfaisante et absence de consentement valable
pour la personnalisation de la publicité, dans une décision (très technique) du
19 juin 2020 !
En réalité, le Conseil d’État valide ainsi l’analyse
juridique de la Cnil ainsi que le montant de la sanction et conclut que « eu
égard à la gravité particulière des manquements commis, qui tient à la nature
des exigences méconnues et à leurs effets sur les utilisateurs, au caractère
continu de ces manquements et à la durée de la période durant laquelle ils ont
perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD, et à la
situation financière de la société, la sanction pécuniaire de 50.000.000
d’euros prononcée à l’encontre de la société Google ne revêt pas un caractère
disproportionné. ».
Rappelez-vous, en mai 2018, la Cnil avait reçu des
plaintes collectives de None Of Your Business (NOYB) et de La Quadrature du Net
(LQDN) dans lesquelles ces associations reprochaient à « Gogol » de
ne pas disposer d’une base juridique valable pour traiter les données
personnelles des utilisateurs de ses services, notamment à des fins de
personnalisation de la publicité.
La formation restreinte de la Cnil leur avait donné
gain de cause dans une décision du 21 janvier 2019 et « Gogol » a
intenté un recours en annulation de la délibération devant le Conseil d’État.
Conseil d’État, Sec. contentieux, 10ème et
9ème ch. réunies, décision du 19 juin 2020
Le Conseil : Réda Wadjinny-Green (auditeur), Alexandre
Lallet (rapporteur public)
Avocats : SCP Spinosi Sureau
REPUBLIQUE
FRANCAISE
AU NOM DU
PEUPLE FRANCAIS
Par une requête sommaire, un mémoire complémentaire,
deux mémoires en réplique, des observations complémentaires et un nouveau
mémoire, enregistrés les 16 mai, 1er août et 19 décembre 2019 et les
11 février, 18 mai et 10 juin 2020 au secrétariat du contentieux du Conseil d’État,
la société Google LLC demande au Conseil d’État :
1°) d’annuler la délibération n° SAN-2019-001 du 21
janvier 2019 par laquelle la formation restreinte de la Commission nationale de
l’informatique et des libertés (CNIL) a prononcé à son encontre une sanction
pécuniaire d’un montant de 50 000 000 d’euros et décidé de de rendre publique sa
délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à
compter de sa publication ;
2°) à titre
subsidiaire, de poser les questions préjudicielles suivantes à la Cour de
justice de l’Union européenne et de surseoir à statuer dans l’attente de la
réponse de la Cour à ces questions :
« 1 – Un responsable du traitement constitué dans un
pays tiers à l’Union européenne ayant plusieurs établissements dans l’Union
européenne et un siège européen désigné sur le territoire d’un État membre peut-il
avoir un « établissement principal » au sens de l’article 4(16) du RGPD dans
cet État membre dans l’hypothèse où les décisions sur les finalités et les
moyens du traitement sont prises dans ce pays tiers ?
2 – Lorsqu’un
responsable du traitement envisage un traitement ayant plusieurs finalités et
cherche à obtenir le consentement de la personne concernée en application de
l’article 6(1)(a) du RGPD pour l’ensemble de ces finalités, l’article 7(2) et
le considérant 32 du RGPD imposent-ils au responsable du traitement de donner
la possibilité à la personne concernée de détailler son consentement par
finalité dès le premier niveau d’information, ou la personne concernée
peut-elle donner son consentement par un acte positif clair et unique pour
l’ensemble des finalités dans le premier niveau d’information tout en ayant
accès, par le biais d’un lien ou de tout autre moyen, à la possibilité de
détailler son consentement dans un second niveau d’information ? ».
Elle soutient que la formation restreinte de la CNIL a
entaché sa délibération :
– d’irrégularité, dès lors que l’établissement
principal de Google en Europe se situe en Irlande et qu’en vertu du principe de
l’autorité chef de file consacré par le règlement général sur la protection des
données (RGPD), c’est l’autorité de régulation irlandaise qui était compétente
pour contrôler ses activités dans l’Union européenne ;
– de méconnaissance des principes de légalité des
délits et des peines et du principe de non bis in idem à s’être estimée
compétente pour instruire les plaintes ;
– d’irrégularité à n’avoir pas correctement appliqué
les procédures de coopération et de cohérence prévues par le chapitre VII du
RGPD ;
– d’irrégularité à avoir suivi la procédure prévue par
le décret du 20 octobre 2005 pris pour l’application de la loi du 6 janvier
1978 relative à l’informatique, aux fichiers et aux libertés, qui ne garantit
pas le respect des droits de la défense et du principe du contradictoire tels
que protégés par l’article 16 de la Déclaration des droits de l’homme et du
citoyen de 1789 et les stipulations de l’article 6 de la Convention européenne
de sauvegarde des droits de l’homme et des libertés fondamentales, dès lors que
les délais sont trop courts pour permettre au responsable du traitement
concerné de préparer sa défense et qu’aucun délai de distance n’est prévu ;
– d’erreur de droit à avoir retenu que le consentement
sur lequel se fonde Google pour les traitements aux fins de personnalisation de
la publicité n’était pas valablement recueilli ;
– d’erreur de droit à avoir retenu un manquement aux
obligations de transparence et d’information telles que prévues par les
articles 12 et 13 du RGPD ;
– à titre subsidiaire, d’erreur de droit et
d’insuffisance de motivation sa décision en prononçant une sanction pécuniaire
disproportionnée d’un montant de 50 millions d’euros sans avoir pris en compte
l’ensemble des critères prévus par l’article 83 du RGPD.
Par un mémoire en défense et trois mémoires en
réplique, enregistrés le 23 octobre 2019, et les 15 janvier, 26 février et 11
juin 2020, la CNIL conclut au rejet de la requête. Elle soutient qu’aucun des
moyens n’est fondé.
Par une intervention et un mémoire, enregistrés les 6
avril et 8 juin 2020, l’Union fédérale des consommateurs – Que choisir (UFC –
Que choisir) déclare intervenir en défense.
Vu les autres pièces du dossier ;
Vu :
– la Constitution, notamment son Préambule ;
– la convention européenne de sauvegarde des droits de
l’homme et des libertés fondamentales ;
– le règlement (UE) 2016/679 du Parlement européen et
du Conseil du 27 avril 2016 ;
– la loi n° 78-17 du 6 janvier 1978 ;
– le décret n° 2005-1309 du 20 octobre 2005 ;
– l’arrêt de la Cour de justice de l’Union européenne
C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände –
Verbraucherzentrale Bundesverband eV contre Planet49 GmbH du 1er octobre
2019 ;
– le code de justice administrative et l’ordonnance n°
2020 305 du 25 mars 2020 modifiée ;
Après avoir entendu en séance publique :
– le rapport de M. Réda Wadjinny-Green, auditeur
– les conclusions de M. Alexandre Lallet, rapporteur
public ;
La parole ayant été donnée, avant et après les
conclusions, à la SCP Spinosi, Sureau, avocat de la société Google LLC ;
Vu la note en délibéré, enregistrée le 13 juin 2020,
présentée par la société Google LLC ;
Considérant ce qui suit :
1. Il résulte de l’instruction que la Commission
nationale de l’informatique et des libertés (CNIL) a été saisie les 25 et 28
mai 2018 de deux plaintes collectives déposées en application de l’article 80
du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation de ces données, dit Règlement général sur la
protection des données (RGPD), formées par les associations None of Your
Business et La Quadrature du Net. Le 21 septembre suivant, la CNIL a diligenté
un contrôle en ligne afin de vérifier la conformité des traitements opérés par
la société Google LLC à partir des données personnelles des utilisateurs du
système d’exploitation Android à la loi du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés et au RGPD. A la suite de ce
contrôle, la présidente de la CNIL a engagé une procédure de sanction. Par une
délibération du 21 janvier 2019, dont la société Google LLC demande
l’annulation, la formation restreinte de la CNIL a infligé à cette société une
sanction pécuniaire de 50 000 000 d’euros à raison de manquements aux articles
6, 12 et 13 du RGPD et a décidé de rendre cette sanction publique pendant une
durée de deux ans à compter de sa publication.
Sur l’intervention de l’UFC – Que choisir :
2. L’UFC – Que choisir justifie, eu égard à l’objet et
à la nature du litige, d’un intérêt suffisant pour intervenir dans la présente
instance au soutien des conclusions présentées par la Commission nationale de
l’informatique et des libertés (CNIL), qui tendent au rejet de la requête. Son
intervention est, par suite, recevable.
Sur la compétence de la CNIL :
3. L’article 55 du RGPD dispose que : « Chaque
autorité de contrôle est compétente pour exercer les missions et les pouvoirs
dont elle est investie conformément au présent règlement sur le territoire de
l’État membre dont elle relève » tandis qu’aux termes de l’article 56 du
règlement : « 1. Sans préjudice de l’article 55, l’autorité de contrôle de
l’établissement principal ou de l’établissement unique du responsable du
traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de
contrôle chef de file concernant le traitement transfrontalier effectué par ce
responsable du traitement ou ce sous-traitant, conformément à la procédure
prévue à l’article 60. (…) 6. L’autorité de contrôle chef de file est le seul
interlocuteur du responsable du traitement ou du sous-traitant pour le
traitement transfrontalier effectué par ce responsable du traitement ». En
vertu du 7) de l’article 4 de ce même règlement, la notion de « responsable de
traitement » désigne « la personne physique ou morale (…) qui, seul ou
conjointement avec d’autres, détermine les finalités et les moyens du
traitement (…) » tandis qu’aux termes du 16 de ce même article celle «
d’établissement principal » doit être entendue comme « a) en ce qui concerne un
responsable du traitement établi dans plusieurs États membres, le lieu de son
administration centrale dans l’Union, à moins que les décisions quant aux
finalités et aux moyens du traitement de données à caractère personnel soient
prises dans un autre établissement du responsable du traitement dans l’Union et
que ce dernier établissement a le pouvoir de faire appliquer ces décisions,
auquel cas l’établissement ayant pris de telles décisions est considéré comme
l’établissement principal (…) ». Enfin, le 36ème considérant du
règlement précise que : « L’établissement principal d’un responsable du
traitement dans l’Union devrait être déterminé en fonction de critères
objectifs et devrait supposer l’exercice effectif et réel d’activités de
gestion déterminant les décisions principales quant aux finalités et aux moyens
du traitement dans le cadre d’un dispositif stable (…) ».
4. Il résulte clairement des dispositions citées au
point précédent que lorsqu’est en cause un traitement transfrontalier de
données à caractère personnel opéré au sein de l’Union européenne, l’autorité
de contrôle de l’établissement principal dans l’Union du responsable de ce
traitement est, en tant qu’autorité chef de file, compétente pour contrôler le
respect des exigences du RGPD. Pour la détermination de l’autorité de contrôle
compétente, l’administration centrale du responsable du traitement,
c’est-à-dire le lieu de son siège réel, doit en principe être regardée comme
son établissement principal. Il en va autrement si un autre de ses
établissements est compétent pour prendre les décisions relatives aux finalités
et aux moyens du traitement et dispose du pouvoir de les faire appliquer à
l’échelle de l’Union. Dans l’hypothèse où un responsable de traitement implanté
en dehors de l’Union européenne met en œuvre un traitement transfrontalier sur
le territoire de l’Union, mais qu’il n’y dispose ni d’administration centrale,
ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses
moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne
peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale
est compétente pour contrôler le respect du RGPD sur le territoire de l’Etat
membre dont elle relève, conformément à l’article 55 précité.
5. La société Google LLC soutient que la CNIL n’était
pas compétente pour engager la procédure de sanction mentionnée au point 1 et
qu’elle était tenue de transmettre les plaintes qu’elle avait reçues à
l’autorité de protection des données irlandaises, dès lors que la société Google
Ireland Limited devait être considérée comme son établissement principal au
sein de l’Union européenne. Elle se borne à indiquer notamment que son
établissement irlandais constitue son « siège social » pour ses opérations
européennes, qu’il dispose de moyens financiers et humains importants et
assume, pour l’ensemble de l’Europe, la responsabilité de « nombreuses
fonctions organisationnelles », dont la consistance n’est pas précisée. Il est
constant que le système d’exploitation Android était, à la date de la décision
attaquée, exclusivement développé et exploité par la société Google LLC,
implantée au Etats-Unis et responsable des traitements litigieux. D’une part,
il ne résulte pas de l’instruction que la société Google Ireland exerçait, à
cette date, un pouvoir de direction ou de contrôle sur les autres filiales
européennes de la société Google LLC de nature à la regarder comme une
administration centrale au sens du RGPD. D’autre part, il résulte de
l’instruction que cet établissement, qui ne s’est en tout état de cause vu
attribuer de nouvelles responsabilités s’agissant des traitements opérés par
Google en Europe qu’à partir du 22 janvier 2019, soit postérieurement à la date
de la sanction attaquée, ne disposait jusqu’à cette date d’aucun pouvoir décisionnel
quant aux finalités et aux moyens des traitements litigieux, pas plus qu’aucun
autre de ses établissements européens.
6. Il résulte de ce qui a été dit aux points 4 et 5
que la société Google Ireland Limited ne pouvait être regardée comme
l’administration centrale du responsable des traitements litigieux et que la
société Google LLC, qui seule déterminait leurs finalités et moyens, ne
disposait pas, à la date de la sanction attaquée, d’établissement principal au
sein de l’Union européenne, au sens et pour l’application du RGPD. Aucune
autorité chef de file ne pouvant dès lors être désignée dans les conditions
prévues à l’article 56 du RGPD, la CNIL était compétente pour instruire les
plaintes des associations None of Your Business et La Quadrature du Net à
raison des traitements des données personnelles des utilisateurs français du
système d’exploitation Android opérés par la société Google LLC et infliger à
cette dernière la sanction attaquée. La reconnaissance d’une telle compétence
de la CNIL à l’égard des responsables de traitement de données des utilisateurs
situés en France, dont les conditions de détermination ne méconnaissent en tout
état de cause pas le principe de légalité des délits et des peines, ne saurait
entraîner une violation du principe du non bis in idem.
Sur la régularité de la procédure :
7. En premier lieu, le comité européen de la
protection des données (CEPD) émet un avis dans les hypothèses visées au
paragraphe 1 de l’article 64 du RGPD, au nombre desquelles ne figurent pas les procédures
de sanction, ou lorsqu’il est saisi à cet effet par une autorité de contrôle,
le président du comité ou la Commission en vertu du deuxième paragraphe de ce
même article. Le comité peut également prendre des décisions contraignantes
dans les cas visés à l’article 65 du règlement, qui dispose notamment que : «
1. En vue d’assurer l’application correcte et cohérente du présent règlement
dans les cas d’espèce, le comité adopte une décision contraignante dans les cas
suivants : a) lorsque, dans le cas visé à l’article 60, paragraphe 4, une
autorité de contrôle concernée a formulé une objection pertinente et motivée à
l’égard d’un projet de décision de l’autorité de contrôle chef de file et que
l’autorité de contrôle chef de file n’a pas donné suite à l’objection ou a
rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée (…) b)
lorsqu’il existe des points de vue divergents quant à l’autorité de contrôle
concernée qui est compétente pour l’établissement principal ; / c) lorsqu’une
autorité de contrôle compétente ne demande pas l’avis du comité dans les cas
visés à l’article 64, paragraphe 1, ou qu’elle ne suit pas l’avis du comité
émis en vertu de l’article 64 ».
8. Il résulte de l’instruction que, le 1er juin
2018, la CNIL a soumis les plaintes dont elle était saisie à ses homologues
européens via le système européen d’échange d’information en vue de la
désignation d’une éventuelle autorité chef de file. Aucune autorité de contrôle
européenne n’a alors décidé de saisir le comité européen de la protection des
données ni fait part d’une appréciation divergente de celle de la CNIL quant à
l’absence d’établissement principal de Google LLC en Europe. En outre,
postérieurement à cette date, l’autorité de protection des données irlandaise a
publiquement indiqué, par un droit de réponse exercé le 27 août 2018 dans le
quotidien Irish Times, qu’elle n’était pas l’autorité chef de file de Google
LLC dès lors que l’établissement irlandais de cette société ne disposait
d’aucun pouvoir décisionnel quant aux traitements de données qu’elle opérait en
Europe. En l’absence de point de vue divergent et dès lors que l’instruction de
la plainte en litige ne relève d’aucun autre cas prévu par les articles 64 et
65 du RGPD, le moyen tiré de ce que l’absence de saisine du comité européen de
la protection des données aurait entaché la procédure d’irrégularité ne peut
qu’être écarté.
9. En second lieu, le mécanisme prévu aux articles 60
à 62 du RGPD, qui a pour objectif d’encourager la coopération entre les
différentes autorités de contrôle européennes de protection des données et
d’assurer une application cohérente du règlement dans l’ensemble de l’Union, ne
s’applique qu’en cas de désignation d’une autorité chef de file ou d’opérations
conjointes des autorités de contrôle. La procédure litigieuse ne relevant
d’aucune de ces deux hypothèses, le moyen tiré de la méconnaissance par la CNIL
de son devoir de coopération et d’assistance mutuelle, qui en tout état de
cause ne saurait être utilement invoqué à l’appui d’un recours dirigé contre
une sanction infligée par elle, ne peut qu’être écarté.
Sur la méconnaissance des droits de la défense :
10. En premier lieu, la société requérante soutient
que le décret du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du
6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, sous
l’empire duquel s’est déroulée la procédure litigieuse, méconnaît les droits de
la défense et le droit au procès équitable garantis par l’article 16 de la
Déclaration des droits de l’homme et du citoyen de 1789 et l’article 6 de la
convention européenne de sauvegarde des droits de l’homme et des libertés
fondamentales dès lors, d’une part, que les délais de procédure qu’il prévoit
sont trop brefs pour permettre au responsable de traitement de préparer
utilement sa défense et, d’autre part, qu’aucune modulation de ce délai,
notamment pour les responsables de traitement établis à l’étranger, n’est
aménagée.
11. Aux termes de l’article 16 de la Déclaration des
droits de l’homme et du citoyen de 1789 : « Toute société dans laquelle la
garantie des droits n’est pas assurée, ni la séparation des pouvoirs
déterminée, n’a point de Constitution ». Cette disposition implique notamment
qu’aucune sanction ayant le caractère d’une punition ne puisse être infligée à
une personne sans que celle-ci ait été mise à même de présenter ses
observations sur les faits qui lui sont reprochés. S’agissant des mesures à
caractère de sanction, le respect du principe général des droits de la défense
suppose que la personne concernée soit informée, avec une précision suffisante
et dans un délai raisonnable avant le prononcé de la sanction, des griefs
formulés à son encontre et puisse avoir accès aux pièces au vu desquelles les
manquements ont été retenus, à tout le moins lorsqu’elle en fait la demande.
12. L’article 74 du décret du 20 octobre 2005, alors
en vigueur, dispose que : « Lorsqu’une sanction est susceptible d’être
prononcée, le président de la commission désigne un rapporteur n’appartenant
pas à la formation restreinte et en informe le responsable de traitement ou le
sous-traitant mis en cause. / Le rapporteur procède à toutes diligences utiles
avec le concours des services de la commission. Le responsable du traitement ou
le sous-traitant peut être entendu si le rapporteur l’estime utile (…) ». Aux
termes de l’article 75 de ce même décret : « Le rapport prévu par l’article 47
de la loi du 6 janvier 1978 susvisée est notifié au responsable du traitement
ou au sous-traitant par tout moyen permettant à la commission d’apporter la
preuve de la date de cette notification. Il est également transmis à la
formation restreinte. / Le responsable du traitement ou le sous-traitant
dispose d’un délai d’un mois pour transmettre au rapporteur et à la formation
restreinte ses observations écrites. La notification du rapport mentionne ce
délai et précise que le responsable du traitement peut prendre connaissance et
copie des pièces du dossier auprès des services de la commission et se faire
assister ou représenter par tout conseil de son choix. / Le rapporteur peut
répondre au responsable du traitement ou au sous-traitant dans les quinze jours
suivant la réception des observations du mis en cause. Le responsable du
traitement ou le sous-traitant dispose d’un nouveau délai de quinze jours pour,
le cas échéant, produire des observations écrites. (…) Le responsable du
traitement ou le sous-traitant est informé que passés les délais mentionnés aux
alinéas précédents, sauf report de la clôture de l’instruction, l’instruction est
close et ses observations écrites seront déclarées irrecevables par la
formation restreinte. / À tout moment, le rapporteur peut décider de modifier
son rapport, notamment, au vu d’éléments portés à sa connaissance par le
responsable du traitement ou le sous-traitant. Il est alors fait application de
la procédure prévue aux alinéas précédents. Si la modification intervient après
la clôture de l’instruction, l’instruction est rouverte ». L’article 76 du
décret prévoit enfin que : « Le responsable du traitement ou le sous-traitant
est informé de la date de la séance de la formation restreinte au cours de
laquelle est inscrite l’affaire le concernant et de la faculté qui lui est
offerte d’y être entendu, lui-même ou son représentant, par tout moyen permettant
d’attester la date de sa notification. Cette information doit lui parvenir au
moins un mois avant la date de la séance au cours de laquelle l’affaire est
examinée. En cas de réexamen ou de report de l’affaire lors d’une séance
ultérieure, ce délai minimal peut être ramené à sept jours ».
13. D’une part, il résulte de ces dispositions que le
responsable de traitement à qui est notifié un rapport proposant une sanction à
son égard dispose d’un délai d’un mois pour transmettre ses observations à la formation
restreinte et au rapporteur, puis d’un délai de quinze jours en réplique pour
répondre aux nouvelles observations du rapporteur, le cas échéant. A l’issue de
ce dernier délai, l’instruction est en principe close. Une date d’audience est
par ailleurs fixée, au cours de laquelle le responsable du traitement peut
présenter des observations orales. Le responsable est informé de cette date au
moins un mois avant la tenue de l’audience. Il ressort en outre des
dispositions des articles 75 et 76 précités que le président de la formation
restreinte peut, selon les circonstances de l’affaire, reporter tant la date de
clôture de l’instruction que la date de l’audience afin de permettre au
responsable de traitement de préparer sa défense. D’autre part, aucune règle ni
aucun principe n’impose l’institution, en matière de procédure administrative
de sanction, d’un délai de distance, applicable aux requérants domiciliés hors
de la France métropolitaine. Dans ces conditions, l’exception d’illégalité des
articles 75 et 76 du décret du 20 octobre 2005 doit être écartée.
14. En second lieu, il est soutenu qu’en l’espèce, la
procédure suivie a méconnu les droits de la défense, la société Google n’ayant
pas été mise à même de faire valoir utilement ses observations. Il résulte de
l’instruction que la société requérante a d’abord disposé d’un délai d’un mois
pour répondre au rapport du rapporteur. Elle a ensuite disposé d’un second
délai d’un mois pour réagir à la réplique du rapporteur, le président de la
formation restreinte lui ayant accordé une extension du délai de quinze jours,
si bien que la clôture de l’instruction n’a été prononcée qu’au terme d’un
délai de deux mois et quinze jours à compter de la transmission du rapport
précité. Si, à deux reprises au cours de la procédure, la société requérante a
demandé l’organisation d’une audition, d’abord auprès de la Commission, puis du
rapporteur, sur le fondement de l’article 74 du décret du 20 octobre 2005, et
que ces demandes ont été rejetées les 11 octobre et 13 novembre 2018, il
résulte de l’instruction que la séance de la formation restreinte, initialement
prévue le 10 janvier 2019, a été reportée, à la demande de la requérante, au 15
janvier et que celle-ci a pu y présenter des observations orales. Dans ces
conditions, la société a été mise à même de préparer et de présenter utilement
sa défense. Le moyen tiré de la méconnaissance des droits de la défense doit
donc être écarté, sans qu’aient d’incidence sur ce point la circonstance que la
plus grande part des pièces de la procédure était rédigée en langue française
ni l’absence de mise en demeure préalable.
Sur les manquements constatés aux obligations
d’information et de transparence :
15. Le 1 de l’article 12 du RGPD dispose que : « Le
responsable du traitement prend des mesures appropriées pour fournir toute
information visée aux articles 13 et 14 ainsi que pour procéder à toute
communication au titre des articles 15 à 22 et de l’article 34 en ce qui
concerne le traitement à la personne concernée d’une façon concise,
transparente, compréhensible et aisément accessible, en des termes clairs et
simples, en particulier pour toute information destinée spécifiquement à un
enfant. Les informations sont fournies par écrit ou par d’autres moyens y
compris, lorsque c’est approprié, par voie électronique (…) ». L’article 13 de
ce même règlement précise les informations qui doivent obligatoirement être
fournies aux utilisateurs. Il résulte clairement de ces dispositions que
l’information fournie aux utilisateurs doit les mettre en mesure de déterminer
à l’avance la portée et les conséquences du traitement afin d’éviter qu’ils
soient pris au dépourvu quant à la façon dont leurs données à caractère
personnel ont vocation à être utilisées. Si les exigences de concision,
d’intelligibilité, de clarté et de simplicité de l’information posées par le
RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas
décourager l’utilisateur d’en prendre connaissance, tous les éléments
pertinents relatifs aux différentes finalités et à l’ampleur du traitement
doivent lui être aisément accessibles.
16. La société Google LLC soutient que l’architecture
qu’elle a retenue vise à informer les utilisateurs de façon claire et
intelligible à partir d’une approche à plusieurs niveaux, conformément aux
recommandations du comité européen de la protection des données. Le premier
niveau, composé des « Règles de confidentialité et conditions d’utilisation »
présente la portée et les principales finalités du traitement, tandis que
plusieurs liens hypertextes – « conditions d’utilisation » ; « règles de
confidentialité » ; « plus d’options » ; « règlement » ; « en savoir plus » –
permettent aux utilisateurs d’accéder à une information plus exhaustive. Enfin
et postérieurement à la création d’un compte, d’autres outils sont mis à la
disposition de l’utilisateur pour gérer ses paramètres de confidentialité, à
l’image du « check-up confidentialité » et de l’outil « dashboard ».
17. En premier lieu, le premier niveau d’information
proposé aux utilisateurs apparaît excessivement général eu égard à l’ampleur
des traitements opérés par la société, au degré d’intrusion dans la vie privée
qu’ils impliquent et au volume et à la nature des données collectées.
18. En deuxième lieu, il résulte de l’instruction que
les informations essentielles relatives à certains traitements ne sont
accessibles qu’à la suite de nombreuses actions, ou qu’elles ne le sont qu’à
partir de liens hypertextes eux-mêmes difficilement accessibles. Pour obtenir
l’ensemble des informations pertinentes relatives au traitement personnalisé
des annonces, un utilisateur doit d’abord effectuer trois actions à partir du
premier niveau d’information, avant de revenir au document initial et
d’effectuer deux nouvelles actions, soit un total de cinq actions, tandis que
six actions sont nécessaires pour obtenir une information exhaustive quant à la
géolocalisation. Les informations relatives à la durée de conservation des
données, qui doivent être obligatoirement fournies en vertu du a) du 2° de
l’article 13 du RGPD, ne sont accessibles qu’à partir d’un lien hypertexte
disponible à la soixante-huitième page du document « Règles de confidentialités
».
19. En troisième et dernier lieu, l’information
transmise est elle-même parfois lacunaire ou insuffisamment précise, y compris
dans les derniers niveaux d’information. Il résulte ainsi de l’instruction que
le document relatif à la conservation des données édité par Google indique que
certaines données pourront être conservées « pendant de longues périodes pour
des raisons précises », sans indiquer ni les finalités poursuivies ni les
données concernées.
20. Dans ces conditions, l’arborescence choisie par
Google apparaît de nature, par l’éparpillement de l’information qu’elle
organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les
utilisateurs, alors même que les traitements en cause sont particulièrement
intrusifs eu égard au nombre et à la nature des données collectées. Il s’ensuit
que c’est à bon droit que la formation restreinte de la CNIL, qui n’a pas,
contrairement à ce qui est soutenu, exigé qu’une information exhaustive soit
livrée dès le premier niveau d’information, a caractérisé une violation des
obligations d’information et de transparence définies par les articles 12 et 13
du RGPD précités. Par ailleurs, la formation restreinte de la CNIL n’était pas
tenue d’indiquer quelles seraient les mesures à prendre pour satisfaire aux
exigences du RGPD.
Sur les manquements constatés aux règles relatives au
consentement pour les traitements aux fins de personnalisation de la publicité
:
21. En premier lieu, l’article 6 du RGPD dispose que :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des
conditions suivantes est remplie : / a) la personne concernée a consenti au
traitement de ses données à caractère personnel pour une ou plusieurs finalités
spécifiques ». Le 11 de l’article 4 du même règlement précise que le
consentement s’entend comme « toute manifestation de volonté, libre,
spécifique, éclairée et univoque par laquelle la personne concernée accepte,
par une déclaration ou par un acte positif clair, que des données à caractère
personnel la concernant fassent l’objet d’un traitement » Aux termes de
l’article 7 du même règlement : « 1. Dans les cas où le traitement repose sur
le consentement, le responsable du traitement est en mesure de démontrer que la
personne concernée a donné son consentement au traitement de données à
caractère personnel la concernant. / 2. Si le consentement de la personne
concernée est donné dans le cadre d’une déclaration écrite qui concerne
également d’autres questions, la demande de consentement est présentée sous une
forme qui la distingue clairement de ces autres questions, sous une forme
compréhensible et aisément accessible, et formulée en des termes clairs et
simples (…) ». Il résulte de ces dispositions telles qu’interprétées par la
Cour de justice de l’Union européenne dans son arrêt C-673/17 du 1er octobre
2019 que le consentement libre, spécifique, éclairé et univoque ne peut qu’être
un consentement exprès de l’utilisateur, donné en toute connaissance de cause
et après une information adéquate sur l’usage qui sera fait de ses données
personnelles. Un consentement donné au moyen d’une case cochée par défaut
n’implique pas un comportement actif de la part de l’utilisateur et ne peut dès
lors être considéré comme procédant d’un acte positif clair permettant
valablement le recueil du consentement. En outre, un consentement recueilli
dans le cadre de l’acceptation globale de conditions générales d’utilisation
d’un service ne revêt pas un caractère spécifique au sens du RGPD. Enfin,
indépendamment des modalités dans lesquelles il est recueilli, le consentement
n’est valide que s’il est précédé d’une présentation claire et distincte de l’ensemble
des finalités poursuivies par le traitement.
22. Il résulte de l’instruction que, pour la création
d’un compte Google nécessaire à l’utilisation du système d’exploitation
Android, l’utilisateur se voit d’abord présenter les « Règles de confidentialité
et conditions d’utilisation » qui l’informent succinctement et de façon très
générale sur la nature des données traitées et les objectifs poursuivis par les
traitements mis en œuvre par Google. L’utilisateur peut alors cliquer sur un
lien « plus d’options » ou cocher les cases « j’accepte les conditions
d’utilisation de Google » et « j’accepte que mes informations soient utilisées
tel que décrit ci-dessus et détaillé dans les règles de confidentialité » pour
créer son compte. Si l’utilisateur clique sur le lien « plus d’options », une
page lui propose de paramétrer son compte. Au titre de la personnalisation des
annonces, une case pré-cochée, qu’il peut décocher, indique qu’il consent à
afficher des annonces personnalisées. Il lui est possible d’obtenir plus
d’informations en cliquant sur un lien « en savoir plus », lequel précise les
modalités d’affichage des annonces personnalisées, sans toutefois que cette
information soit exhaustive. En revanche, si l’utilisateur ne décide pas de
cliquer sur le lien « plus d’options » sur la première page qui lui est
présentée, une fenêtre intitulée « simple confirmation » apparaît et rappelle à
l’utilisateur que le compte est configuré pour inclure des fonctionnalités de
personnalisation « telles que les recommandations et les annonces
personnalisées ». Cette page lui indique comment modifier ces paramètres. Il
peut alors de nouveau accéder à la page « plus d’options » ou confirmer
définitivement la création de son compte.
23. S’il résulte de l’architecture décrite au point
précédent que l’utilisateur est toujours invité à signaler qu’il accepte que
ses informations soient traitées conformément au paramétrage par défaut de son
compte, c’est-à-dire en incluant des fonctions de personnalisation des
annonces, l’information dont il dispose au regard de cette finalité est
générale et diluée au milieu de finalités ne retenant pas nécessairement le
consentement comme base légale, tant au premier niveau d’information que de la
fenêtre intitulée « simple confirmation ». Il apparaît ainsi que l’information
sur la portée du traitement aux fins de « ciblage publicitaire » fournie au
premier niveau est, au regard des exigences de clarté et d’accessibilité
rappelées ci-dessus, insuffisante. Faute d’information préalable suffisante, le
consentement recueilli de manière globale pour l’ensemble des finalités, y
compris celle-ci, ne peut être regardé comme éclairé ni, par voie de
conséquence et en tout état de cause, comme valide. Si une information
complémentaire sur la finalité de ciblage publicitaire est fournie au deuxième
niveau (en cliquant sur « Plus d’options ») et qu’un consentement propre à
cette finalité est alors recueilli, il apparaît que cette information est
elle-même insuffisante eu égard à la portée du traitement. S’y ajoute enfin le
fait que le consentement est recueilli au moyen d’une case précochée. Dans ces
conditions, c’est à bon droit que la formation restreinte de la CNIL a
considéré que les modalités du recueil du consentement ne répondent pas aux
exigences du RGPD qui requièrent un acte positif clair, sans qu’ait d’incidence
sur ce point la circonstance alléguée que ce règlement n’impose pas de
recueillir le consentement de manière distincte pour la finalité de ciblage
publicitaire. Par ailleurs, et contrairement à ce qui est soutenu, la formation
restreinte n’était pas tenue de définir précisément les obligations pesant sur
la société requérante en matière de consentement, lesquelles découlent
directement du RGPD.
24. En second lieu, si la société requérante soutient
que la CNIL aurait interprété l’exigence de consentement de manière incohérente
par rapport à ses précédentes prises de position, elle ne peut utilement se
prévaloir de ce que les modalités du recueil du consentement décrites au point
22 étaient conformes aux recommandations de la CNIL formulées par la
délibération n° 2013-378 du 5 décembre 2013 relative aux cookies, laquelle
était fondée sur la directive 95/46 qui n’était plus en vigueur à la date de la
sanction attaquée, ni invoquer la délibération n° 2019-093 du 4 juillet 2019
qui laisse aux opérateurs, en matière de cookies et traceurs, une période
d’adaptation de six mois durant laquelle la commission a annoncé que la
poursuite de la navigation comme expression du consentement n’entrainerait pas
la mise en mouvement de son pouvoir répressif. La requérante ne saurait
davantage utilement se prévaloir de ce qu’un consentement « explicite » est
requis pour autoriser le traitement de données dites sensibles visées à
l’article 9 du RGPD pour en déduire qu’un tel consentement ne serait pas
nécessaire pour les données non visées à cet article, dès lors que l’article 4
du règlement définit le consentement de la même manière quelle que soit la
nature des données concernées.
Sur la motivation de la sanction infligée par la CNIL
:
25. D’une part, le 2 de l’article 83 du RGPD dispose
que : « Selon les caractéristiques propres à chaque cas, les amendes
administratives sont imposées en complément ou à la place des mesures visées à
l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu
d’imposer une amende administrative et pour décider du montant de l’amende
administrative, il est dûment tenu compte, dans chaque cas d’espèce, des
éléments suivants : / a) la nature, la gravité et la durée de la violation,
compte tenu de la nature, de la portée ou de la finalité du traitement
concerné, ainsi que du nombre de personnes concernées affectées et le niveau de
dommage qu’elles ont subi ; / b) le fait que la violation a été commise délibérément
ou par négligence ; / c) toute mesure prise par le responsable du traitement ou
le sous-traitant pour atténuer le dommage subi par les personnes concernées ; /
d) le degré de responsabilité du responsable du traitement ou du sous-traitant,
compte tenu des mesures techniques et organisationnelles qu’ils ont mises en
œuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise
précédemment par le responsable du traitement ou le sous-traitant ; / f) le
degré de coopération établi avec l’autorité de contrôle en vue de remédier à la
violation et d’en atténuer les éventuels effets négatifs ; / g) les catégories
de données à caractère personnel concernées par la violation ; / h) la manière
dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et
dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié
la violation ; / i) lorsque des mesures visées à l’article 58, paragraphe 2,
ont été précédemment ordonnées à l’encontre du responsable du traitement ou du
sous-traitant concerné pour le même objet, le respect de ces mesures ; / j)
l’application de codes de conduite approuvés en application de l’article 40 ou
de mécanismes de certification approuvés en application de l’article 42 ; et /
k) toute autre circonstance aggravante ou atténuante applicable aux
circonstances de l’espèce, telle que les avantages financiers obtenus ou les
pertes évitées, directement ou indirectement, du fait de la violation ».
26. D’autre part, l’article L. 211-2 du code des relations
entre le public et l’administration dispose que « doivent être motivées les
décisions qui : (…) 2° Infligent une sanction » tandis qu’aux termes de
l’article L. 211-5 du même code : « La motivation exigée par le présent
chapitre doit être écrite et comporter l’énoncé des considérations de droit et
de fait qui constituent le fondement de la décision ». Il résulte de ces
dispositions que, dans l’hypothèse où la légalité d’une décision administrative
repose sur la prise en compte d’un certain nombre de considérations, le respect
de l’exigence de motivation qu’elles prévoient ne conduit son auteur à ne
devoir énoncer que celles sur lesquelles se fonde la décision qu’il a prise. Il
ne résulte en outre d’aucune disposition que la formation restreinte de la Commission
nationale de l’informatique et des libertés devrait procéder à une
explicitation du montant des sanctions qu’elle prononce. Il suit de là que les
moyens tirés de l’insuffisance de motivation de la décision attaquée qui
n’avait ni à se prononcer sur l’ensemble des critères prévus à l’article 83 du
RGPD précité ni à indiquer les éléments chiffrés relatifs au mode de
détermination du montant de la sanction infligée et de l’erreur de droit que
révélerait cette insuffisance de motivation, doivent être écartés.
Sur le montant de la sanction infligée :
27. Il résulte de ce qui précède qu’eu égard à la
gravité particulière des manquements commis, qui tient à la nature des
exigences méconnues et à leurs effets sur les utilisateurs, au caractère
continu de ces manquements et à la durée de la période durant laquelle ils ont
perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD, et à la
situation financière de la société, la sanction pécuniaire de 50 000 000
d’euros prononcée à l’encontre de la société Google ne revêt pas un caractère
disproportionné.
28. Il résulte de tout ce qui précède, sans qu’il soit
besoin de poser des questions préjudicielles à la Cour de justice de l’Union
européenne, que la requête de la société Google LLC doit être rejetée.
DÉCISION
Article 1er : L’intervention de l’UFC – Que
choisir est admise.
Article 2 : La requête de la société Google LLC est
rejetée.
Article 3 : La présente décision sera notifiée à la
société Google LLC et à la Commission nationale de l’informatique et des
libertés.
Vous l’aurez compris, « Gogol » va devoir
revoir son Androïd.
Car la CNIL aura relevé quelques les manquements aux
obligations d’information et de transparence, alors que « Gogol »
défendait l’architecture à plusieurs niveaux qu’elle avait adoptée pour
informer les utilisateurs « de façon claire et intelligible » sur le
sort de leurs données personnelles.
Effectivement, l’instruction par la Cnil avait fait
apparaître une grande complexité pour obtenir l’ensemble des informations
pertinentes relatives au traitement personnalisé des annonces.
Par exemple, la mention de la durée de conservation
des données est accessible à partir d’un lien disponible à la 68ème page
du document « règles de confidentialité ».
« Dans ces conditions, l’arborescence choisie par
Google apparaît de nature, par l’éparpillement de l’information qu’elle
organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les
utilisateurs, alors même que les traitements en cause sont particulièrement
intrusifs eu égard au nombre et à la nature des données collectées.
Il s’ensuit que c’est à bon droit que la formation
restreinte de la CNIL, qui n’a pas, contrairement à ce qui est soutenu, exigé
qu’une information exhaustive soit livrée dès le premier niveau d’information,
a caractérisé une violation des obligations d’information et de transparence
définies par les articles 12 et 13 du RGPD précités. », juge le
Conseil d’État.
En bref, l’architecture devra être revue…
Sur les manquements aux règles du consentement pour
les traitements aux fins de personnalisation de la publicité, la même
complexité apparaît : Le RGPD impose un consentement libre, spécifique et
éclairé.
Certes, indique le Conseil d’État, l’utilisateur est
invité à accepter le paramétrage par défaut de son compte Androïd, mais
l’information sur les finalités est générale et diluée au milieu de finalités
ne nécessitant pas de consentement !
L’information manque donc de clarté et
d’accessibilité, et le consentement ne peut donc pas être regardé comme valide.
Par ailleurs, le recueil de ce consentement se fait au moyen d’une case
précochée.
« Dans ces conditions, c’est à bon droit que la
formation restreinte de la CNIL a considéré que les modalités du recueil du
consentement ne répondent pas aux exigences du RGPD qui requièrent un acte
positif clair, sans qu’ait d’incidence sur ce point la circonstance alléguée
que ce règlement n’impose pas de recueillir le consentement de manière
distincte pour la finalité de ciblage publicitaire. », conclut le Conseil
d’État.
Personnellement, ce qui m’épate c’est que le CE soit
capable de sortir un texte aussi technique et complet dès après la fin du
confinement.
Peut-être ses membres avaient-ils le temps dans « zoomer »
entre eux durant 55 jours plein et entier.
Parce que bon, les arguties des « baveux »
ne me semblent pas non plus très pertinents.
Et je serai « Gogol » je leur dirai, c’est
comme ça, on ne va pas refaire Androïd autour de la planète pour contenter
quelques « autorités-locales » tatillonnes !
Si vous ne voulez pas d’Androïd, restez chez les
chinois et puis marre…
Ceci dit, il y aura naturellement un recours contre
cette décision devant la CJUE, ou celle des droits de l’homme (allez savoir ?)
et « Gogol » aura fait faillite avant de payer son amende.
Faillite qui sera précipitée si tout le monde lui
réclame 50 M€…
À moins que forcément, ils s’en foutent : Ce n’est
pas eux qui payent, mais leurs clients qui en réclament toujours plus…
Pot de fer contre pot de terre.
Bon week-end à toutes et à tous !
I3
Aucun commentaire:
Enregistrer un commentaire