Prestation ajoutée au panier Aucune prestation n'a été sélectionnée. Continuer mes achats Valider mon panier Ajouter au panier Mon panier (0) (1)
prestations Mon compte Connexion / Création compte Information < Retour aux offres Annuler Fermer Valider

Articles & Actualités

Juridique

La première décision de la CNIL prononcée sur le fondement du RGPD : l’autorité de contrôle française sanctionne sévèrement le manque de transparence et l’absence de base légale, principes cardinaux du RGPD

11/03/2019

Fabrice Naftalski, Brice Lepagnot

​Le Règlement général sur la protection des données1 (dit « RGPD ») est applicable depuis le 25 mai 2018. Le régime des sanctions a été considérablement renforcé. Le 21 janvier 2019, la CNIL a ainsi condamné la société Google LLC, en application du RGPD, à une amende de 50 millions d'euros.

Suite aux plaintes collectives déposées par les associations « None of Your Business » et « La Quadrature du net » à l'encontre de Google, la Commission nationale de l'informatique et des libertés (ci-après la « CNIL ») a procédé à un contrôle en ligne de tout traitement relatif au système d'exploitation Android, qui a révélé plusieurs manquements aux obligations du RGPD. A la suite de ce contrôle, dans une délibération en date du 21 janvier 2019, la formation restreinte de la CNIL a infligé une amende de 50 millions d'euros à la société de droit américain Google LLC2 ainsi qu'une sanction complémentaire de publicité de la décision en raison des manquements aux obligations relatives à l'information et au recueil du consentement des personnes concernées.

Compétence de la CNIL :

Sur la question de la compétence de la CNIL, la décision est particulièrement intéressante car elle illustre le mécanisme dit du « Guichet Unique »3 destiné à harmoniser au niveau européen les décisions des autorités de contrôle en matière de traitements transfrontaliers4. En effet, s'agissant de ces traitements, le RGPD prévoit, d'une part, que l'autorité de contrôle du pays dans lequel est situé l'établissement principal d'un organisme sera compétente pour agir en tant qu'autorité chef de file et sera de ce fait la seule interlocutrice de celui-ci, et d'autre part, que les autorités de contrôle ont l'obligation de coopérer entre elles et de se coordonner sur l'ensemble de leurs décisions. Aussi, du fait de la concertation des autorités de contrôle concernées, la décision de l'autorité chef de file présentera une interprétation commune.

Toutefois, les entreprises établies en dehors de l'Union Européenne ne sont pas visées par ce mécanisme même si leurs traitements de données concernent des personnes situées dans plusieurs États membres. Elles ne peuvent donc pas s'en prévaloir.

Or, au cas d'espèce, afin d'écarter la compétence de la CNIL, la société Google LLC a soutenu que la société Google Ireland Limited, établie en Irlande, devait être considérée comme son établissement principal au sein de l'Union européenne, et que par conséquent, seule l'autorité de contrôle irlandaise était compétente pour instruire les plaintes. La CNIL a rejeté cet argument en considérant « qu'au moment où elle a entrepris ses poursuites l'établissement irlandais ne disposait pas d'un pouvoir de décision sur les traitements en cause » alors que cet élément est déterminant au regard des dispositions applicables5. Par conséquent, dans la mesure où la CNIL a considéré que les conditions de mise en place du Guichet Unique n'étaient pas réunies, elle a retenu sa compétence.

Manquements constatés :

Sur le fond, la CNIL a constaté deux séries de manquements aux dispositions du RGPD, à savoir concernant :

  • les obligations relatives à l'information des personnes concernées6 (difficultés d'accès aux éléments d'information essentiels car nécessitant l'activation de multiples liens et boutons - manque de clarté et d'intelligibilité notamment quant à l'ampleur des traitements mis en œuvre et aux finalités) ;
  • les obligations relatives au recueil du consentement7 pour les traitements de personnalisation de la publicité (consentement d'utilisateurs insuffisamment éclairés, consentement non spécifique et équivoque).

Justification de la sanction :

Pour rappel, le RGPD8 prévoit que le montant des sanctions administratives prononcées par une autorité de contrôle peut aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Au vu des manquements constatés, la CNIL a donc lourdement condamné Google LLC en prononçant une amende de 50 millions d'euros. Elle justifie sa décision par la gravité des manquements, l'ampleur et la portée des traitements, le caractère continu des manquements, et des avantages que Google LLC retire de ces traitements au regard de son modèle économique qui repose essentiellement sur le traitement des données des utilisateurs à des fins publicitaires.

Aussi, la CNIL, rend une décision dissuasive pour les organismes qui ne respecteraient pas les exigences de la réglementation applicable. La société Google LLC a d'ores et déjà annoncé qu'elle allait interjeter appel de cette décision, devant le Conseil d'Etat.

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[2] Délibération de la CNIL n°SAN-2019-001 du 21 janvier 2019

[3] Article 56 du RGPD.

[4] Article 4. 23) du RGPD.

[5] Notamment les lignes directrices du CEPD du 5 avril 2017 concernant la désignation d'une autorité de contrôle chef de file d'un responsable de traitement ou d'un sous-traitant (WP244).

[6] Articles 12, 13 et 14 du RGPD.

[7] Articles 4 et 7 du RGPD et lignes directrices du CEDP du 10 avril 2018 sur le consentement (WP 259).

[8] Article 83 du RGPD.