Aller au contenu
United States of Security

Google sanctionné par la CNIL

·1282 mots·7 mins·
Sécurité IT Amende CNIL Google RGPD Sanction
Auteur
Cyril Amar
RSSI la journée, secouriste la nuit, un peu de protection des données personnelles entre les deux.
Sommaire

La CNIL a annoncé, à la veille du FIC2019, infliger une sanction de 50 millions d’euros au géant californien pour non-respect de ses obligations de Responsable de Traitement au sens du RGPD. Cette sanction est la première d’une série attendue suite aux plaintes de La Quadrature du Net et None Of Your Business.

Deux associations à l’origine des plaintes

Au commencement étaient La Quadrature du Net (LQDN) et None Of Your Business (NOYB). Ces deux associations qui militent notamment en faveur du respect de la vie privée ont saisi la CNIL dès l’entrée en vigueur du RGPD (les 25 et 28 mai précisément). Elles reprochent à Google de ne pas disposer d’une base légale pour traiter les données à caractère personnel de ses visiteurs, et en particulier pour la personnalisation des publicités gérées par le groupe.

L’instruction par la CNIL

Compétence territoriale

Ces plaintes ont mis en branle le mécanisme européen d’enquête prévu par le RGPD. La première étape a été de vérifier que la CNIL était bien l’autorité compétente pour traiter ces plaintes.

L’idée ici est de respecter le principe du guichet unique : chaque responsable de traitement ayant un établissement dans l’UE peut s’adresser à l’autorité nationale du pays en question, et c’est cette autorité qui prend en charge les démarches en cas de contrôle.

Ici, il s’avère que même si Google a un établissement en Irlande, cet établissement ne peut pas être retenu comme Responsable de Traitement, car il n’est pas en position de donneur d’ordres sur les traitements considérés. La CNIL en déduit donc qu’il n’existe pas de guichet unique compétent, et qu’elle peut donc se saisir du dossier.

Investigations

Depuis la loi relative à la consommation entrée en vigueur en mars 2014, la CNIL peut procéder, en plus des contrôles sur place, à des contrôles en ligne. Ces contrôles sont particulièrement adaptés aux services de communication au public, comme Google.

De fait, en septembre 2018, la CNIL réalise un tel contrôle. Les inspecteurs ont simulé le parcours d’un nouvel utilisateur d’un téléphone Android, et vérifié à chaque étape si les obligations, d’information notamment) étaient bien respectées. Sans surprise au regard de l’issue du dossier, ils ont trouvé des non-conformités.

Non-conformités

Plus précisément, la CNIL relève deux grandes familles de défauts :

  1. le non-respect des obligations d’information
  2. l’absence d’une base légale valide aux traitements de données

Défaut d’information

La CNIL commence par retenir que si certaines informations relatives aux traitements existent, elles ne sont pas facilement accessibles aux utilisateurs (article 12). Ainsi, les inspecteurs constatent que pour avoir une information complète, l’utilisateur doit parcourir plusieurs documents, découpés sur plusieurs pages, et nécessitant parfois jusqu’à 6 actions différentes de l’utilisateur.

Pire, la Commission estime qu’à l’issue de ce parcours du combattant, l’utilisateur n’est toujours pas correctement informé (article 13) de l’ampleur de ce que fait Google de ses données à caractère personnel ni même de la quantité de données collectées. Une des raisons de ce flou est que les finalités et les données collectées pour y parvenir sont décrites de manière très (trop au goût de la CNIL) générique.

La CNIL estime également que Google tente de masquer le fait que l’utilisateur peut ne pas donner (ou retirer) son consentement aux traitements de données, en laissant croire que l’entreprise agit pour son intérêt légitime.

Enfin, et c’est presque anecdotique, la CNIL constate que la durée de conservation de certaines données n’est pas précisée (article 13).

Absence de base légale valide

Revenons sur la base légale du traitement. Le RGPD en prévoit six possibles, il faut et il suffit d’en avoir une pour chaque traitement (article 6) :

  • le consentement,
  • l’exécution d’un contrat,
  • le respect d’une obligation légale,
  • la protection des intérêts vitaux,
  • l’exécution d’une mission d’intérêt public,
  • l’intérêt légitime du responsable de traitement.

Dans le cas qui nous intéresse, Google affirme s’appuyer sur le consentement des utilisateurs pour personnaliser les publicités qui sont affichées. La CNIL retient toutefois que le consentement recueilli n’est pas valide (article 4).

En effet, elle estime que les utilisateurs n’ont pas accès à suffisamment d’informations avant de se prononcer.

Elle estime également que si Google permet bien à l’utilisateur de retirer son consentement, il coche par défaut la case permettant la personnalisation des publicités, ladite case étant cachée dans un menu. Le consentement n’est donc pas univoque.

Enfin, le consentement n’est pas spécifique : Google invite l’utilisateur à consentir en bloc à toutes les finalités envisagées par la société.

La sanction

La sanction a été prononcée par la formation restreinte de la CNIL, chargée du contentieux. Elle a condamné Google à une amende de 50 millions d’euros et à la publicité de la sanction. Notons que c’est la première fois que la CNIL fait usage de ses nouveaux pouvoirs établis par le RGPD.

La CNIL précise que le montant a été fixé en fonction de plusieurs points (article 83) :

  • la gravité des manquements constatés,
  • le fait qu’il ne s’agit pas d’un manquement ponctuel, mais bien de violations continues du RGPD, et que Google n’a pas profité du temps de l’instruction pour corriger les constats,
  • le volume de personnes impactées, du fait des parts de marché du système Android.

Enfin, la CNIL rappelle que la personnalisation des publicités n’est pas une activité annexe de Google, et que la société n’y a donc pas apporté toute l’attention nécessaire pour s’assurer du respect de ses obligations.

Et maintenant ?

Pour Google

Plusieurs choses pouvaient se passer.

D’abord, Google peut déposer un recours contre cette décision, devant le Conseil d’État, sous quatre mois (article 78). C’est ce que la société a choisi de faire le 24 janvier 2018.

Mais elle avait d’autres possibilités. Même si cette décision a probablement été examinée de près par le top management de Google, le montant reste raisonnable, surtout vu ce qui était encouru (2 à 4% du chiffre d’affaires mondial du groupe). Il était donc possible que le Californien accepte la sanction et ne change rien, puisque la publicité lui rapporte bien plus. Cela aurait toutefois été particulièrement dangereux, la CNIL risquant de se vexer.

Enfin, Google aurait pu décider de se mettre en conformité, totalement ou partiellement, pour tous les utilisateurs ou seulement les ressortissants européens.

Je serais dans les hautes sphères de Google, je serais particulièrement prudent. Les plaintes de LQDN et NOYB couvraient un spectre plus large que le seul écosystème Android, le reste (Youtube, Gmail et Google Search) est toujours en cours d’instruction par la CNIL. Ce n’est pas ce qui a été retenu.

Pour tous les autres

Cette décision est riche d’enseignements. D’abord elle fixe un tarif (temporaire) pour ce type d’irrégularités, prouvant que les autorités de contrôle sont prêtes à infliger des sanctions de plus en plus importantes.

Ensuite, elle donne des indications plus précises sur l’interprétation à avoir du RGPD. Par exemple, là où on pouvait penser qu’il faut et qu’il suffit de proposer à l’utilisateur l’information quelque part, la CNIL répond que ce n’est pas suffisant et fait une explication de texte dans sa décision.

Enfin, une dernière remarque pertinente, qui nous vient de l’ex-Chief Security Officer de Facebook Alex Stamos. Les autorités de contrôle européennes doivent maintenant transformer l’essai et prononcer de nouvelles condamnations, y compris d’acteurs européens. Autrement, le RGPD se transformerait en arme économique volontiers anti-américaine. D’aucuns répondront que les plus gros acteurs (et donc potentiellement les plus gros contrevenants) sont américains, il n’y a donc pas de surprise à avoir ici.

Pour en savoir plus

La décision complète de la CNIL : https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1

L’analyse commentée de la CNIL : https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la

Les références des articles cités : https://www.cnil.fr/fr/reglement-europeen-protection-donnees

L’article sur le sujet de La Quadrature du Net : https://www.laquadrature.net/2019/01/21/premiere-sanction-contre-google-suite-a-nos-plaintes-collectives/

L’article sur le sujet de None Of Your Business : https://noyb.eu/exclusivite-la-cnil-sanctionne-google-a-hauteur-de-50-millions-deuros-suite-a-une-plainte-deposee-par-noyb/?lang=fr

Articles connexes

Décision d’adéquation pour les USA
·1908 mots·9 mins
Sécurité IT CJUE CNIL Commission européenne Données personnelles GAFAM Privacy Shield RGPD Schrems Trans-Atlantic Data Privacy Framework
On l’attendait depuis l’arrêt Schrems II, la Commission européenne a rendu une décision d’adéquation des USA au regard du RGPD. Véritable avancée ou nuage de fumée ?
De l’intérêt de la Privacy pour Madame Bismuth
·2525 mots·12 mins
Sécurité IT CNIL Données personnelles Privacy RGPD Vie privée

On a parlé du cadre législatif et réglementaire, on a abordé les impacts pour les entreprises et on a survolé les conséquences du RGPD pour un citoyen européen.
Mais dans la vraie vie, qu’est-ce que cela change, et pourquoi est-ce important ? Surtout que vous, vous n’avez rien à cacher !
Le Privacy Shield prend l’eau
·1298 mots·7 mins
Sécurité IT CJUE Justice Privacy Shield RGPD USA Vie privée

Dernière étape en date du conflit juridique entre les États-Unis d’Amérique et l’Union Européenne, entre les lois de surveillance américaines et les lois protégeant la vie privée européennes, la CJUE a rendu un arrêt très attendu.