La Commission nationale de l’informatique et des libertés a infligé, le 21 janvier 2019, une amende record de 50 millions d’euros à la société Google, pour plusieurs manquements au règlement général relatif à la protection des données personnelles (RGPD).
L’examen des conditions générales d’utilisation (CGU) des réseaux sociaux a donné lieu à une importante actualité jurisprudentielle ces derniers mois (voir La rem n°48, p.26). La requalification de ces CGU en contrat à titre onéreux a ainsi justifié l’annulation d’un certain nombre de clauses non conformes au code de la consommation. Certaines d’entre elles portaient notamment sur l’exploitation publicitaire des données personnelles des utilisateurs, ce qui concerne également l’application du RGPD et de la loi « Informatique, fichiers et libertés » en France. C’est sur ce terrain que la Cnil a pu examiner les CGU d’un autre géant du numérique, la société Google, s’agissant spécifiquement des collectes de données opérées par son système d’exploitation Android. Cela a conduit la Commission à infliger une amende de 50 millions d’euros pour divers manquements1.
Cette sanction exceptionnelle constitue l’un des premiers cas d’application du RGPD, qui permet aux autorités administratives de prendre des sanctions financières allant jusqu’à 4 % du chiffre d’affaires annuel mondial. La décision contribue aussi à la mise en conformité des conditions contractuelles des services en ligne américains avec le droit national. À ce titre, on relèvera que certains des manquements relevés par la Cnil s’apparentent à ceux que le tribunal de grande instance de Paris a pu sanctionner récemment, s’agissant des CGU des services Twitter, Google+ et Facebook.
La Commission a établi deux séries de manquements portant sur les conditions dans lesquelles les services déployés par Google, par son système d’exploitation sur les terminaux mobiles, utilisent les données de leurs utilisateurs à des fins de personnalisation de la publicité.
Un manquement à l’obligation de transparence et d’information
Tout d’abord, il est reproché un manque de transparence et de clarté dans la délivrance des informations relatives auxdites collectes.
Celles-ci portent notamment sur les finalités, les durées de conservation ou encore les types de données utilisées. Ces informations sont en effet dispersées dans plusieurs documents, auxquels on ne peut accéder qu’au prix d’un certain nombre de manipulations et de clics. De plus, la compréhension des CGU nécessiterait d’opérer des recoupements entre ces différents documents, notamment en fonction du paramétrage choisi par l’utilisateur et des applications en cause. L’ergonomie générale se révèle ainsi fastidieuse d’utilisation, ce qui peut décourager l’utilisateur, lequel ne sera pas en mesure d’avoir une information complète sur les données collectées et l’utilisation qui en est faite. La Cnil mentionne plusieurs exemples de ce manquement, notamment en ce qui concerne les conditions relatives à la personnalisation de la publicité ou à l’utilisation des données de géolocalisation. La consultation complète de ces conditions nécessite d’ouvrir « en cascade » une série de rubriques et de sous-rubriques, dont certaines ne sont présentées qu’à titre complémentaire des conditions de base (du type « Plus d’options », « en savoir plus »). Cinq à six actions successives seraient ainsi nécessaires pour parvenir à prendre connaissance des informations relatives aux traitements de données.
La Cnil constate également que les intitulés des rubriques sont souvent formulés de façon vague, et a priori sans lien avec les traitements. Il en est de même avec les finalités, que la Cnil estime « trop génériques au regard de la portée des traitements mis en œuvre et de leurs conséquences ». Tel est le cas de la finalité « d’amélioration des services », formulation classique dans les CGU de réseaux sociaux, et qui reste grandement imprécise. De même est-il précisé que l’usage qui est fait des données peut varier selon les pratiques et le paramétrage choisi par l’utilisateur, sans plus d’éléments. Enfin, une incertitude demeure à la lecture des CGU concernant la base des traitements mis en œuvre. Si la société Google semble invoquer le consentement comme base juridique, on constate que c’est plutôt l’intérêt légitime du responsable de traitement qui est mis en avant, s’agissant notamment de « mener des actions de marketing en vue de faire connaître nos services auprès des utilisateurs et surtout avoir recours à la publicité afin de rendre un grand nombre de nos services disponibles gratuitement pour les utilisateurs ».
Ces manquements sont d’autant plus graves que les données sont collectées de manière massive et intrusive, puisque ce sont près de vingt services fonctionnant avec le système Android qui sont concernés. Pour toutes ces raisons, un défaut global d’accessibilité est relevé par la Commission, ce qui contrevient aux articles 12 et 13 du RGPD.
Un défaut de base légale
La Cnil relève une deuxième série de manquements intéressant cette fois la base légale des traitements mis en œuvre par Google.
L’article 6 du RGPD dispose en effet que le traitement de données n’est licite que si l’une des conditions qu’il prévoit est vérifiée, la première d’entre elles étant bien sûr le consentement de la personne au traitement « pour une ou plusieurs finalités spécifiques ». Celles-ci n’étant pas communiquées aux utilisateurs sous une forme suffisamment claire, pour les raisons précitées, la Commission estime que le défaut d’information contamine l’exigence de consentement, celui-ci devant bien sûr être éclairé. De même, l’ergonomie spécifique des CGU ne permet pas à l’utilisateur d’exprimer son consentement par un « acte positif clair », au sens de l’article 32 du règlement. Le constat est tiré au regard des multiples actions nécessaires pour prendre connaissance des traitements mis en œuvre, au fait que la personne puisse finaliser la création d’un compte sans avoir à cliquer sur l’ensemble des liens hypertextes relevant des CGU (notamment ceux comportant la mention « Plus d’options »), ainsi qu’à l’existence de cases pré-cochées dans certaines rubriques.
On ne saurait donc déduire que le consentement aux traitements de données ayant pour finalité la personnalisation de la publicité est valablement recueilli.
Perspectives
La sanction infligée par la Cnil s’est voulue exemplaire, et la Commission prend le soin de la justifier en détails. Elle constate ainsi que les manquements relevés ont perduré même au-delà de la mise en demeure, laquelle aurait permis à l’entreprise de corriger un certain nombre de défauts. De plus, quand bien même un faible pourcentage d’utilisateurs serait concerné par ces manquements, leur nombre est quand même très élevé, tout comme l’est la masse des données ainsi traitées. Aussi, le montant de 50 millions d’euros paraît amplement justifié au regard du chiffre d’affaires de l’entreprise et des bénéfices qu’elle tire de l’exploitation publicitaire des données. Quelques mois après l’entrée en vigueur du RGPD, cette décision permet de prendre conscience des changements ainsi apportés par le nouveau texte, notamment au niveau du pouvoir de sanction des autorités de contrôle.
D’autres enquêtes viennent d’être ouvertes à l’encontre d’entreprises du numérique, y compris certaines qui ne sont pas forcément connues du grand public. Ainsi en est-il de QuantCast, société spécialisée dans la publicité, qui a vendu des solutions « clés en main » de collecte des données personnelles à près de 26 000 sites depuis mai 2018. Celles-ci sont aisément reconnaissables aux bandeaux « We value your privacy », suivis d’un tableau relatif aux finalités de collecte et aux entreprises tierces intéressées. Bien que l’entreprise ait fait fortune avec la mise en conformité au RGPD, ses pratiques ont été récemment signalées au commissaire irlandais à la protection des données, qui a ouvert une enquête le 2 mai 2019. Celle-ci tendra à vérifier si les pratiques de profilage effectuées par cette société, ainsi que ses durées de conservation des données, sont bien respectueuses des exigences du règlement2.
Sources :
- Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC.
- Communiqué : « Data Protection Commission opens statutory inquiry into Quantcast International Limited », Data Protection Commission, May 2nd, 2019.