Le 21 janvier 2019, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de GOOGLE en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour les traitements relatifs à la personnalisation de la publicité.

Cette sanction fait suite à des plaintes collectives en date des 25 et 28 mai 2018, regroupant les réclamations de milliers de personnes, intentées par les associations None Of Your Business et La Quadrature du net.

Préalablement aux questions de fond, la compétence de la CNIL a été contestée par GOOGLE. La CNIL s’est néanmoins déclarée compétente pour traiter des plaintes collectives, écartant l’application du mécanisme de « guichet unique », qui prévoit qu’un organisme établi dans l’Union Européenne doit avoir pour seule interlocutrice l’autorité du pays où est situé son « établissement principal ».

Pour la CNIL, le siège irlandais de GOOGLE ne remplit pas les conditions posées par le RGPD pour être considéré comme un établissement principal, en raison de son absence de pouvoir décisionnel vis-à-vis des traitements en cause. La CNIL conclut ainsi que toutes les autorités de contrôle au sein de l’Union européenne sont alors compétentes pour prendre des décisions relatives aux traitements en cause.

Suite à ses investigations, la CNIL a relevé que GOOGLE ne respectait ni ses obligations de transparence et d’information, ni son obligation de disposer d’une base légale pour les traitements relatifs à la personnalisation de la publicité.

Tout d’abord, l’article 12 du RGPD dispose que les informations fournies aux personnes concernées par le responsable de traitement doivent l’être de manière « concise, transparente, compréhensible et aisément accessible », dans le but de leur permettent d’appréhender aussi bien la portée que les conséquences du traitement qui est effectué sur leurs données.

La CNIL a constaté en l’espèce que les informations n’étaient ni accessibles ni claires et compréhensibles au sens du RGPD pour deux raisons :

• L’architecture générale de l’information : les informations essentielles ne sont accessibles qu’après plusieurs étapes et sont excessivement disséminées au sein de plusieurs documents comportant des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance des informations

• La compréhension de l’ampleur des traitements : les traitements en cause sont particulièrement massifs et intrusifs mais les informations communiquées ne permettent pas aux personnes concernées d’appréhender les caractéristiques de ces traitements (finalités trop génériques et vagues, absence de durée de conservation…).

Ensuite, tout traitement de données doit être fondé sur l’une des bases légales limitativement énumérées à l’article 6 du RGPD, parmi lesquelles figure le consentement de la personne concernée.

A ce titre, les articles 4 et 7 du RGPD disposent que le consentement, pour être donné valablement, doit être libre, éclairé et univoque.

La CNIL considère que le consentement ne pouvait constituer le fondement des traitements en cause pour deux raisons :

• L’absence du caractère éclairé du consentement : cette absence découle du caractère trop diffus des informations essentielles, ne permettant pas de prendre conscience de l’ampleur des traitements en cause ;

• L’absence des caractères spécifique et univoque : le procédé choisi par GOOGLE pour le consentement ne permet que de consentir « en bloc » à toutes les finalités et non de manière distincte pour chaque finalité (absence de spécificité) et l’utilisateur n’effectue aucun acte positif pour donner son consentement du fait d’une case pré-cochée (absence de caractère univoque).

Il s’agit de la première sanction prononcée par la CNIL en application du RGPD.

La CNIL justifie notamment le montant de cette sanction au regard de l’ampleur des traitements en cause, de la gravité et du caractère continu des manquements.

En outre, il convient de relever que ce montant demeure en deçà du plafond de 4% du chiffre d’affaires mondial fixé par le RGPD, qui exposait GOOGLE à une sanction de plusieurs milliards.

A la suite de cette décision, GOOGLE a décidé de transférer un pouvoir décisionnel au siège irlandais mais également d’introduire un recours devant le Conseil d’Etat.

La CNIL a par ailleurs été saisie de plaintes d’associations à l’encontre d’autres acteurs majeurs du numérique comme Facebook ou encore Amazon.