Après une première année de relative tolérance nécessaire à la mise en conformité de la plupart des sociétés aux dispositions du Règlement Général sur la Protection des Données (RGPD), les actions et sanctions contre des responsables de traitement pour violation de dispositions du RGPD se sont multipliées courant 2019.
Au-delà des autorités de contrôle des pays de l’Union européenne, certaines procédures ont également été engagées par des associations, sous forme de recours collectif.
Le recours collectif, aussi appelé action de groupe est déjà mis en œuvre depuis plusieurs années aux Etats-Unis, notamment en matière de violation des données personnelles. Introduit dans la législation française en matière de données personnelles par le RGPD en son article 80 et la nouvelle loi Informatique et Libertés, il ne nécessite pas de saisir la Cnil, et permet à certaines associations d’attaquer directement sur le fondement du RGPD devant les tribunaux de grande instance.
L’action est cependant encadrée par deux critères essentiels :
la violation des données personnelles doit être postérieure à l’entrée en vigueur du RGPD (pour rappel, le 25 mai 2018) ; et
l’action doit être conduite par une association déclarée depuis cinq ans et ayant pour objet la protection de la vie privée et la protection des données à caractère personnel (les associations de défense des consommateurs agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs et les organisations syndicales de salariés ou de fonctionnaires représentatives, lorsque le traitement affecte les intérêts des personnes que leurs statuts les chargent de défendre, sont également éligibles).
Google fait ainsi l’objet depuis le 26 juin 2019 d’une procédure en action de groupe initiée par l’association UFC-Que-Choisir.
L’association a indiqué que son action avait pour objectif de mettre fin à l’exploitation des données personnelles des utilisateurs des services Google, particulièrement de ceux détenant un équipement Android ayant nécessité l’ouverture d’un compte Google. L’indemnisation demandée s’élève à la somme de 1.000 € par utilisateur.
Google a déjà fait l’objet d’une condamnation par le Tribunal de Grande Instance de Paris le 12 février 2019, pour avoir introduit des clauses abusives en matière de données personnelles dans ses conditions générales, ce jugement restant susceptible d’appel.
L’association fait valoir qu’en dépit de cette précédente condamnation, la longueur et la densité des règles de sécurité de Google empêchent la collecte d’un consentement éclairé, spécifique et univoque auprès des utilisateurs.
L’association reproche notamment à Google l’existence de cases pré-cochées « camouflées » qui lui permettraient de ne pas solliciter le consentement des utilisateurs à la collecte de leurs données de géolocalisation lors de la création d’un compte Google.
L’action vise donc en tout premier lieu les utilisateurs d’Android. L’association explique en effet dans une Foire Aux Questions disponibles sur son site que la très grande mobilité des utilisateurs d’équipements pourvus d’Android (smartphones et tablettes notamment) les rend particulièrement susceptibles de voir leur vie privée violée par la collecte de leurs données de géolocalisation.
L’association indique également solliciter auprès du tribunal que Google « cesse d’exploiter les données personnelles de ses utilisateurs collectées de façon illégale, obtienne un réel consentement de ses utilisateurs pour la collecte et le traitement de leurs données personnelles par ses services et applications, indemnise l’ensemble des consommateurs détenteurs d’un équipement Android et titulaire d’un compte Google ».
La loi Informatique et Libertés n’impose pas que les consommateurs se joignent à l’action de groupe dès le début de la procédure. En cas de condamnation de Google, les consommateurs concernés (titulaires d’un compte Google et utilisateur d’Android) pourront se faire connaitre auprès de l’UFC-Que-Choisir. Le tribunal ayant prononcé la condamnation sera au préalable amené à décider des modalités et pièces justificatives nécessaires pour rejoindre l’action de groupe.
Si Google semble faire partie des sociétés les plus susceptibles de faire l’objet d’une enquête de la Cnil ou d’une action de groupe, en France comme dans l’Union européenne, les sociétés de taille plus réduite ne doivent pas ignorer la nécessité de se mettre en conformité avec le RGPD et la nouvelle loi informatique et Libertés. Une récente condamnation d’une TPE prononcée par la Cnil souligne la nécessité d’être bien accompagnée dans leur mise en conformité pour toutes les entreprises traitant des données.
