Le Conseil d’État confirme l\'amende de la CNIL contre Google

Posted by

Le Conseil d’Etat, la plus haute juridiction française pour le droit administratif, a rejeté le recours dirigé contre la sanction de 50 millions d’euros infligée à par la CNIL l’année dernière.

Et ce, pour ne pas avoir rendu assez clair pour les utilisateurs d’Android la manière dont Google traite leurs informations personnelles

Le Conseil d’Etat a rendu cette décision, confirmant la constatation antérieure de la CNIL selon laquelle Google n’avait pas fourni d’informations « suffisamment claires » aux utilisateurs d’Android, ce qui signifiait qu’il n’avait pas légalement obtenu leur consentement pour utiliser leurs données pour des publicités ciblées.

Saisi d’un recours dirigé contre la sanction infligée par la CNIL à Google, le Conseil d’État confirme, par une décision du 19 juin 2020, que la société n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires.

Le Conseil d’Etat estime par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.

Le Conseil d’Etat a donc conclu que l’ampleur de l’amende était proportionnée, compte tenu de la gravité et de la nature continue des violations.

Fait important, le CE a également confirmé la compétence de la CNIL pour réglementer Google , du moins à la date à laquelle cette sanction a été prononcée (Janvier 2019).

Le Conseil d’État confirme l’appréciation portée par la CNIL sur l’information mise à disposition des utilisateurs d’Android par Google concernant le traitement de leurs données.

Il considère que son organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité requises par le , alors même que les traitements en cause sont particulièrement intrusifs par leur nombre et la nature des données collectées.

Il relève en outre que l’information disponible est parfois lacunaire, notamment s’agissant de la durée de conservation des données et des finalités des différents traitements opérés par Google.

L’amende de 50 millions d’euros infligée par la CNIL à Google reste la plus importante à ce jour contre un géant de la technologie dans le cadre du Règlement Général sur la Protection des Données (RGPD) de l’Europe , qui donne à l’affaire une certaine valeur symbolique, pour ceux qui s’inquiètent de savoir si la réglementation fonctionne comme prévu par rapport au pouvoir de la plate-forme.

D’après Techcrunch, alors que la taille de l’amende est encore relativement minime par rapport aux revenus mondiaux de l’entité mère Alphabet, les changements du géant de la technologie pourraient avoir à faire sur la façon dont il recueille les données des utilisateurs.

Ce qui pourrait être beaucoup plus percutant sur sa publicité ciblée dans ses résultats.

En droit européen, pour que le consentement soit une base juridique valable pour le traitement des données à caractère personnel, il doit être informé, spécifique et librement donné. Ou, pour le dire autrement, le consentement ne peut pas être mis à rude épreuve.

Le RGPD exige que l’utilisateur soit mis en mesure de donner son consentement de façon libre, spécifique, éclairée et univoque au traitement de ses données personnelles, ce qui suppose une présentation claire et distincte de l’ensemble des utilisations qui seront faites des données recueillies.

Le Conseil d’État relève que l’utilisateur qui souhaite créer un compte Google pour utiliser le système Android est d’abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité.

L’information sur le ciblage publicitaire qui lui est fournie à cette étape est générale et diluée au milieu d’informations relatives à d’autres finalités.

Alors que le recueil du consentement est, à ce premier niveau, effectué de manière globale pour l’ensemble des finalités poursuivies par le traitement des données, le Conseil d’État confirme l’appréciation de la CNIL selon laquelle l’information relative au ciblage publicitaire n’est pas présentée de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement recueilli.

En l’espèce donc, les juges Français ont conclu que Google n’avait pas fourni suffisamment d’informations claires pour obtenir légalement le consentement, y compris s’opposer à une case à cocher pré-cochée qui, selon le Conseil d’Etat, ne répond pas aux exigences du RGPD.

Ainsi, la décision de la CNIL a été entièrement justifiée.

Compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de la société Google LLC, le Conseil d’État juge que la sanction de 50 millions d’euros prononcée par la CNIL n’est pas disproportionnée.

Contacté pour commenter le rejet de l’appel par le Conseil d’Etat, un porte-parole de Google a envoyé cette déclaration à Techcrunch

Les gens s’attendent à comprendre et à contrôler l’utilisation de leurs données, et nous avons investi dans des outils de pointe qui les aident à faire les deux.

Il ne s’agissait pas de savoir si le consentement est nécessaire pour la publicité personnalisée, mais sur la façon exacte dont il devrait être obtenu.

À la lumière de cette décision, nous allons maintenant examiner les changements que nous devons apporter.

Le groupe Français de défense des droits numériques, La Quadrature du Net, qui avait déposé une plainte connexe contre Google, alimentant l’enquête de la CNIL, a également déclaré la victoire aujourd’hui, notant qu’il s’agit de la première sanction dans un certain nombre de plaintes du RGPD qu’il a déposées contre des géants de la technologie au nom de 12 000 citoyens.

Et @laquadrature d’ajouter dans un autre Tweet :