Saisi d’un recours dirigé contre la sanction infligée par la CNIL à Google, le Conseil d’État confirme, par une décision du 19 juin 2020, que la société n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires. Le Conseil d’Etat estime par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.
Sanctionnée le 21 janvier 2019 par la CNIL pour des manquements concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android, Google a saisi le Conseil d’État pour demander l’annulation de cette sanction prise sur le fondement du règlement général sur la protection des données (RGPD). Par sa décision du 19 juin 2020, le Conseil d’Etat rejette cette requête.
Google a manqué à ses obligations d’information et de transparence
Le RGPD définit un ensemble d’informations que les responsables de traitement sont tenus de fournir aux personnes concernées, de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples.
Le Conseil d’État confirme l’appréciation portée par la CNIL sur l’information mise à disposition des utilisateurs d’Android par Google concernant le traitement de leurs données. Il considère que son organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité requises par le RGPD, alors même que les traitements en cause sont particulièrement intrusifs par leur nombre et la nature des données collectées. Il relève en outre que l’information disponible est parfois lacunaire, notamment s’agissant de la durée de conservation des données et des finalités des différents traitements opérés par Google.
Google ne met pas l’utilisateur à même de donner un consentement libre et éclairé au traitement de ses données aux fins de personnalisation de la publicité
Le RGPD exige que l’utilisateur soit mis en mesure de donner son consentement de façon libre, spécifique, éclairée et univoque au traitement de ses données personnelles, ce qui suppose une présentation claire et distincte de l’ensemble des utilisations qui seront faites des données recueillies.
Le Conseil d’État relève que l’utilisateur qui souhaite créer un compte Google pour utiliser le système Android est d’abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité. L’information sur le ciblage publicitaire qui lui est fournie à cette étape est générale et diluée au milieu d’informations relatives à d’autres finalités. Alors que le recueil du consentement est, à ce premier niveau, effectué de manière globale pour l’ensemble des finalités poursuivies par le traitement des données, le Conseil d’État confirme l’appréciation de la CNIL selon laquelle l’information relative au ciblage publicitaire n’est pas présentée de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement recueilli.
Après avoir relevé que l’utilisateur peut obtenir une information complémentaire sur le ciblage publicitaire en cliquant sur un lien « plus d’options », et qu’il est alors invité à donner un consentement spécifique à cette finalité, le Conseil d’Etat estime que l’information fournie à ce deuxième niveau par Google est, là encore, insuffisante. Par ailleurs, le consentement y est recueilli au moyen d’une case pré-cochée, ce qui ne répond pas aux exigences du RGPD.
La sanction de 50 millions d’euros n’est pas disproportionnée
Compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de la société Google LLC, le Conseil d’État juge que la sanction de 50 millions d’euros prononcée par la CNIL n’est pas disproportionnée.
Par la décision de ce jour, le Conseil d’État confirme par ailleurs que la CNIL était compétente pour prononcer la sanction. Google estimait que l’autorité de protection des données irlandaise était seule compétente pour contrôler ses activités dans l’Union européenne, le contrôle du traitement des données revenant à l’autorité du pays où le principal établissement du responsable du traitement des données est situé, selon un principe de « guichet unique » institué par le RGPD. Le Conseil d’État relève toutefois qu’à la date de la sanction, la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur les traitements de données, la société Google LLC implantée aux États-Unis détenant seule ce pouvoir. Le système du guichet unique n’était pas donc applicable et la CNIL était compétente pour sanctionner les manquements de Google relatifs au traitement des données des utilisateurs français d’Android.