Retour sur l’amende CNIL à Google, pourquoi seulement 50 millions ?

Le 21 janvier 2019 Google a été condamné par la formation restreinte de la CNIL a une amende de 50 millions d’euros au titre de certains manquements constatés aux dispositions du Règlement Général sur la Protection des Données (RGPD). Il s’agit de la première sanction française rendue par une autorité de contrôle en application de la conformité RGPD.
Avant de s’interroger sur le montant de la sanction il est nécessaire de restituer le contexte et de rappeler les manquements reprochés à Google.

1. Sur le manque de transparence et d’information :

Dans la décision de la formation restreinte [1], il est fait grief à Google de ne pas informer suffisamment et de façon transparente ses utilisateurs. Il lui est d’abord reproché de ne pas informer ses utilisateurs sur les durées de conservation mises en place ni sur les critères permettant de calculer cette durée [2]. Il est aussi et surtout mis en avant par la formation restreinte que les informations que Google doit communiquer sont disséminées au sein de plusieurs documents (certaines informations n’étant accessibles qu’au moyen d’un lien cliquable figurant dans un premier document et redirigeant l’utilisateur vers un second document).
Pour reprendre les termes de la CNIL, le choix opéré par Google quant à la présentation des informations conduit à « une fragmentation » de ces dernières [3] ce qui caractérise alors un « défaut global d’accessibilité des informations délivrées » [4]. Pour appuyer son propos, la CNIL prend notamment 2 exemples :

– Les traitements relatifs à la publicité personnalisée où l’utilisateur est contraint de faire jusqu’à 5 clics pour obtenir l’ensemble des éléments d’information et ;
– La géolocalisation où il est nécessaire de procéder jusqu’à 6 clics (plusieurs liens dans le même document renvoyant à divers documents d’information).

2. Sur le manque de clarté :

Ensuite, il est reproché à Google de fournir des informations qui ne sont pas suffisamment claires. Comme mentionné dans la décision, un grand nombre de services sont impliqués dans les traitements de données [5] et Google traite une quantité importante de données (parfois hautement personnelles, comme la géolocalisation). Ces éléments permettent à la formation restreinte d’affirmer le « caractère massif et intrusif des traitements opérés » [6].
C’est au regard de ces caractéristiques que la formation restreinte a considéré que les informations fournies par Google n’étaient pas de nature à éclairer les utilisateurs des conséquences que peuvent avoir sur eux les traitements de données [7]. A ce titre la CNIL étaye son propos en expliquant que :

– La description des objectifs poursuivis par Google n’offre pas une vision claire sur l’étendue des traitements et leur degré d’intrusion dans la vie privée de l’utilisateur [8] ;
– Le descriptif des données traitées n’est pas assez précis et complet [9] ;
– Ce défaut de clarté concerne aussi la base légale utilisée pour fonder la personnalisation de publicité.

En effet, Google indique dans ses documents, dans un premier temps, se fonder sur le consentement (jusque-là, tout va bien). Mais plus loin, Google indique se fonder sur l’intérêt légitime pour « mener des actions de marketing […] ». Soucieuse de clarifier la situation, la formation restreinte a donc interrogé Google à ce sujet qui a su, finalement, faire un effort de clarté en expliquant que la base légale utilisée pour la publicité personnalisée était bien le consentement. Néanmoins, cela semble ne pas convenir car cette « clarification n’est pas portée à la connaissance des utilisateurs ».
Nous avons donc deux catégories de ciblage chez Google. Premièrement, la publicité ciblée – qui repose sur l’exploitation d’un ensemble de données fournies ou générées par l’utilisateur. Deuxièmement, d’autres formes de ciblage – utilisant des données déduites d’informations fournies ou générées par l’utilisateur. Or, l’information fournie par Google ne permet pas aux utilisateurs de distinguer aisément la différence entre une publicité personnalisée, fondée sur le consentement, et « d’autres formes de ciblage […] », fondé sur l’intérêt légitime de Google [10].

3. Sur le défaut de base légale :

Pour finir, les plaintes déposées à la CNIL reprochaient à Google de ne pas procéder à une collecte valable du consentement pour la personnalisation de la publicité. Selon le RGPD le consentement doit être éclairé, spécifique et univoque. Or, le manque de transparence et d’information relevé au préalable permet d’affirmer d’office que le consentement des utilisateurs n’est pas éclairé [11].
De plus, lors de la création d’un compte Google, le fait la personne ne puisse pas consentir distinctement à la publicité personnalisée par rapport aux autres traitements (acceptation de tous les traitements d’un bloc) fait que le consentement n’est pas spécifique [12].
Enfin les cases relatives aux annonces personnalisées sont pré-cochées par défaut (donc situation d’opt-out et non d’opt-in) ce qui permet de dire que le consentement n’est pas univoque [13].

Au vu de ces éléments, la CNIL a sanctionné Google à hauteur de 50 millions d’euros. S’il s’agit d’une amende record en matière de protection des données il n’en reste pas moins que son montant est faible au vu du régime des sanctions prévu par le RGPD. En effet les amendes peuvent aller de 2% à 4% du chiffre d’affaire mondial consolidé ou de 20 millions à 40 millions d’euros (le montant le plus élevé étant retenu). Or, avec un chiffre d’affaire mondial d’environ 110 milliards de dollars, Google aurait pu écoper d’une sanction RGPD autrement plus lourde.

4. La sanction :

Pourquoi Google n’a pas été condamné à payer 2 ou 4 milliards d’euros alors que le considérant 176 explique en prime que les manquements imputés à Google sont les plus « sévèrement sanctionnés » ?
Dans les premiers jours qui ont suivi la décision il a été possible de lire que cela était dû notamment au périmètre du contrôle qui portait seulement sur le système d’exploitation Android. Or comme l’a expliqué Mathias Moulin, directeur de la protection des droits et des sanctions à la CNIL sur France Culture [14], Android n’a été qu’une « porte d’entrée » pour le contrôle mais ce dernier portait bien sur les Conditions générales d’utilisation et la politique de confidentialité qui sont communes aux différents services. Cette explication n’aide donc pas à justifier le montant de l’amende.
Il est possible de voir une potentielle justification de ce montant dans le périmètre des utilisateurs concernés. En effet, la CNIL dans cette décision ne traite que des utilisateurs français. Pourquoi ne pas avoir pris en compte les utilisateurs de l’ensemble de l’UE ?
L’explication apportée par Mathias Moulin est que Google n’a pas d’établissement principal dans l’Union européenne. Google Ireland, contrairement à Google LLC, ne possède pas de pouvoir de décision sur les traitements touchant les européens. De ce fait, la CNIL dispose « d’une compétence unique ». En effet, par cette absence d’établissement principal en UE, il n’a pas été nécessaire de passer par le mécanisme du guichet unique et de coopération entre l’autorité chef de file et les autres autorités de contrôle concernées conformément aux articles 56 et 60 du RGPD.

Il y a fort à parier que si Google Ireland avait été qualifié d’établissement principal la sanction aurait été plus lourde car les faits auraient été alors jugés au regard d’un périmètre d’utilisateurs, et donc d’un périmètre géographique plus large.
C’est donc à travers ce point que se trouverait la réponse à la question sur le périmètre du contrôle restreint aux utilisateurs français et donc la justification au montant de 50 millions d’euros. Comme le dit Mathias Moulin la CNIL n’a pas voulu bloquer « la possibilité pour l’autorité irlandaise de prendre à l’avenir des décisions à l’échelle européenne ».
Toujours est-il que Google a déjà prévu de faire appel de la décision devant le Conseil d’Etat. La saga reste donc à suivre.

Pour d’autres informations nous vous proposons cet article sur la loi informatique et liberté