En novembre 2018, l’équivalent portugais de la Cnil prononçait la première sanction rendue en application du Règlement Général sur la Protection des Données (RGPD) depuis son entrée en vigueur le 25 mai 2018.
Lundi 21 janvier 2019, la Cnil a, à son tour, prononcé une sanction contre un responsable de traitement de données pour manquement à ses obligations en application du RGPD. D’un montant de cinquante millions d’euros, il s’agit de l’amende la plus élevée jamais prononcée par la Cnil.
Au-delà de la date de l’amende, qui en fait donc une des toutes premières applications du mécanisme de sanction prévu par le RGPD, et de son montant, c’est son destinataire qui doit être retenu puisqu’il s’agit de Google.
Le prononcé de cette sanction intervient en conclusion d’une instruction commencée en mai 2018, après les plaintes collectives déposées par les associations None Of Your Business (NYOB) et la Quadrature du Net. None Of Your Business est notamment connue pour avoir été fondée par Max Schrems. Celui-ci était à l’origine des actions qui ont finalement conduit à l’invalidation du mécanisme de « Safe Harbour » par la Cour de Justice de l’Union européenne le 6 octobre 2015.
Dans le cadre de la mise en place du RGPD, Google avait annoncé à ses utilisateurs que de nouvelles règles de confidentialité devaient entrer en vigueur le 22 janvier 2019.
La décision de la Cnil constitue la conclusion d’une enquête entamée il y a quelques mois suite aux plaintes susmentionnées.
Les agents de la Cnil ont reproduit le parcours d’un utilisateur de smartphone Android pour se servir de son appareil. Ce système d’exploitation est aujourd’hui présent sur un grand nombre de smartphones tels ceux des marques Huawei et Samsung.
Afin de paramétrer le smartphone équipé d’Android, il est nécessaire d’utiliser ou de créer un compte Google.
La Cnil relève que, si Google communique sur l’usage qui sera fait des données collectées, ce à quoi elle est tenue en application du RGPD, la société ne respecte pas pour autant le Règlement. L’Autorité fait ainsi reproche à Google d’avoir disséminé les informations relatives aux finalités du traitement dans plusieurs documents différents. Mathias Moulin, directeur de la protection des droits et des sanctions à la CNIL précise ainsi dans une interview que : « l’information n’est pas aisément accessible : elle est disséminée dans différents documents. Il faut parfois jusqu’à cinq clics pour accéder à une information ».
La Cnil considère comme peu probable que les utilisateurs aillent aussi loin pour accéder à ces informations.
En conséquence, la Cnil a retenu que les informations offertes par Google quant aux finalités du traitement des données collectées n’étaient ni claires ni compréhensibles. Elle ajoute dans un communiqué de presse que : « Les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi illimitées ».
La Cnil retient trois motifs au visa du RGPD : le manque de transparence, une information insatisfaisante et l’absence de consentement valable pour la personnalisation de la publicité.
L’association La Quadrature du Net a cependant manifesté son désir de voir l’action de la Cnil se porter désormais sur la deuxième partie de la plainte déposée en collaboration avec l’association None Of Your Business et qui portait sur la question de la collecte d’un consentement libre des utilisateurs.
Pour mémoire, le RGPD prévoit en son article 83 que la violation des obligations d’obtention d’un consentement libre et éclairé à la collecte des données personnelles des personnes concernées est passible d’une sanction pouvant atteindre 20.000.000 d’euros ou 4% du chiffre d’affaires annuel mondial total du responsable de traitement.
Il faut enfin rappeler que cette décision est susceptible de recours.
