Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google LLC, en application du RGPD, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
La CNIL a été saisie de plaintes formulées par deux associations mandatées par près de 10 000 personnes au titre de l’article 80 du RGPD : None Of Your Business et la Quadrature du net. Ces plaintes concernaient l’information et les bases juridiques des traitements mis en œuvre par Google LLC dans le cadre de la personnalisation de la publicité.
1. Manquement à l’obligation de transparence et d’information
A l’issue d’un contrôle, la formation retreinte a constaté que l’architecture générale de l’information choisie par Google LLC s’agissant des traitements liés au compte Google ne permettait pas de respecter les obligations du RGPD, car les informations étaient éparpillées dans plusieurs documents : « Règles de confidentialité et conditions d’utilisations » (affichées au cours de la création de compte), puis « Conditions d’utilisation » et « Règles de confidentialité », (accessibles dans un deuxième temps au moyens de liens cliquables figurant dans le premier document). Ainsi, selon la CNIL :
« Ces différents documents comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. Un tel choix ergonomique entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents. »
Par ailleurs, selon elle, « la description des finalités poursuivie ne permettait pas aux utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée qu’ils sont susceptibles d’emporter ». En effet, les finalités annoncées dans les différents documents (« proposer des services personnalisés en matière de contenu et d’annonce, assurer la sécurité des produits et services, fournir et développer des services, etc. ») ont été jugées par la formation restreinte trop génériques au regard de la portée des traitements mis en œuvres et de leurs conséquences.
Elle a également relevé que la description des données collectées était « particulièrement imprécise et incomplète, tant à l’analyse du premier niveau d’information que de celle des autres documents fournis ».
Le constat du défaut de « clarté » et de caractère « compréhensible » devait être également fait, selon la formation restreinte, s’agissant de la mention de la base juridique des traitements de personnalisation de la publicité, les Règles de Confidentialité n’étant pas claires sur le point de savoir si la publicité ciblée avait pour base juridique le consentement ou l’intérêt légitime.
La formation restreinte a également relevé que certaines indications sur la durée de conservation des données sont également « très générales », sans que ne soient indiqués « aucune durée précise ni les critères utilisés pour déterminer cette durée ».
2. Absence de consentement valable
La formation restreinte a déduit du manquement aux obligations de transparence et d’information évoqué ci-dessus que le consentement demandé par Google LLC n’était pas suffisamment éclairé.
Par ailleurs, en étant autorisés et masqués par défaut, les traitements de personnalisation de la publicité ne sauraient, selon la formation restreinte, être considérés comme ayant été acceptés par l’utilisateur par un acte positif spécifique et univoque.
Elle en a conclu que le consentement sur lequel se fonde Google LLC pour les traitements de personnalisation de la publicité n’était pas valablement recueilli.
La CNIL a prononcé une sanction pécuniaire de 50 millions d’euros.
C’est la première fois que la CNIL fait application des nouveaux plafonds des sanctions prévus par le RGPD.
Lien vers la décision: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1