Contexte. À la suite d’une plainte déposée par noyb et d'une plainte similaire déposée par l'ONG française "La Quadrature du Net", la CNIL (l'autorité française de protection des données) a imposé une amende de 50 millions d'euros à Google en raison de la politique opaque de l'entreprise en matière de respect de la vie privée et de l'absence de base légale pour publicités personnalisées. Il s'agit jusqu'à présent de l'amende la plus élevée adoptée par une autorité de protection des données dans une décision définitive. Néanmoins, elle est bien inférieure à l'amende maximale prévue par le RGPD, qui est de 4 % du chiffre d'affaires mondial de Google (cela représenterait 3,7 milliards d'euros). La décision de la CNIL s'est principalement concentrée sur deux infractions spécifiques au RGPD: le manque d'informations suffisantes des utilisateurs et l'absence de base juridique pour le traitement des données personnelles à des fins publicitaires.
Max Schrems, président d'honneur du NIB : "Le montant est minuscule pour Google, mais reste un symbole important qui montre que les amendes du GDPR peuvent atteindre des montants élevés".
Google a fait appel de cette décision devant le Conseil d'État français (la plus haute juridiction administrative) au motif que la DPA française n'était pas compétente à l’égard du siège européen de Google. Google a notamment fait valoir que l'autorité irlandaise de protection des données devrait mener toute affaire ou enquête sur ses pratiques. Le Conseil d'Etat confirme néanmoins la décision de la CNIL en tout point.
Google ne peut pas choisir le régulateur irlandais. Dans sa décision adoptée aujourd'hui, le Conseil d'Etat a confirmé la sanction et la compétence de la DPA française sur Google. Google a tenté de se réfugier en Irlande, dès lors que le régulateur irlandais ("DPC") n'avait jusqu’alors émis aucune amende par application du GDPR contre un acteur privé. Contrairement au régulateur irlandais, qui a mis plus de 18 mois pour réaliser son rapport sur base des plaintes déposées contre Facebook, Instagram et Whatsapp, la CNIL a publié son rapport endéans les 5 mois, le 22 octobre 2018, et a rendu une décision finale endéans 8 mois.
Max Schrems : "Il est très important que des entreprises comme Google ne se déclarent pas simplement "irlandaises" pour échapper à la surveillance des autorités de régulation de la vie privée".
Lutte pour les compétences nationales. Au sein de l'UE, le "principal établissement" détermine quels États membres seront chargés de faire appliquer le RGPD. S'il n'y a pas d' "établissement principal" dans l’UE, chaque autorité nationale peut décider seule. Le Conseil d'État a confirmé que, même si le siège européen de Google était situé en Irlande, l'établissement irlandais n'avait pas de pouvoir de décision sur les traitements en cause au moment de la décision. Le "mécanisme de guichet unique" n'étant pas applicable, la CNIL était donc compétente pour prendre toute décision concernant les traitements effectués par Google, comme toute autre autorité de protection des données dans l'UE.
Informations difficilement accessibles. Le Conseil d'État a confirmé l'évaluation de la CNIL : les informations contenues dans la politique de confidentialité de Google n'étaient pas facilement accessibles pour les utilisateurs. Les informations de base à fournir sont disséminées dans trop de documents, et ne sont accessibles qu'après plusieurs étapes (parfois jusqu'à 5 ou 6 actions nécessaires). Cela n’est donc pas conforme au RGPD.
L'information n'est pas claire. La CNIL a également conclu que certaines informations ne sont pas toujours claires ni complètes. Les utilisateurs ne peuvent raisonnablement pas comprendre réaliste ce que Google fait de leurs données personnelles. Par exemple, la description des raisons pour lesquelles Google utilise les données, de la base juridique du traitement, ou des catégories de données traitées a été jugée trop vague.
Pas de consentement valable pour les annonces personnalisées. Alors que Google considère avoir obtenu le consentement de l'utilisateur pour traiter les données à des fins de personnalisation des annonces publicitaires, la CNIL a conclu que ce consentement n'était pas valable pour deux raisons :
(1) le consentement, s'il n'est pas suffisamment éclairé, ne peut être ni "spécifique" ni "sans ambiguïté", étant donné que l'information est diluée dans plusieurs documents.
(2) De plus, le RGPD prévoit que le consentement n'est "spécifique" que s'il est donné distinctement pour chaque objectif. Google demandait toutefois un consentement général pour toutes les opérations de traitement.
Conséquences. Max Schrems : "Cette décision nécessite des améliorations substantielles de la part de Google. Leur politique de confidentialité doit maintenant indiquer clairement ce que Google fait des données des utilisateurs. Les utilisateurs doivent également avoir la possibilité de n'accepter que certaines utilisations de leurs données par Google et d’en refuser d’autres".