Depuis hier de nombreux commentateurs relayent la décision de la CNIL à l'encontre de Google. Mais quels enseignements doit‐on en tirer exactement ?

QUELLES VIOLATIONS DU RGPD ONT ETE COMMISES ?

La sanction de la CNIL repose sur 2 fondements distincts :

- Tout d'abord une violation de l'obligation de fournir aux personnes concernées une information transparente sur le traitement des données les concernant : − La CNIL considère d'une part que « (...) l'architecture générale de l'information choisie par la société ne permet pas de respecter les obligations du Règlement. (...) un tel choix ergonomique entraîne une fragmentation des informations obligeant ainsi l'utilisateur à multiplier les clés nécessaires pour accéder aux différents documents. Celui‐ci doit ensuite consulter attentivement une grande quantité d'informations avant de pouvoir identifier le ou les paragraphes pertinents (...) »

En résumé : les mentions d'information des personnes ne doivent pas être un « jeu de piste ».

− La CNIL considère également que la rédaction des mentions d'information n'est ni claire ni compréhensible. La CNIL cite l'exemple d'un passage des mentions d'information précisant que les données seront conservées « (...) pendant de longues périodes pour des raisons précises ». La CNIL note sur ce point que « seules des explications très générales sur la finalité de cette conservation sont fournies et aucune durée précise ni les critères utilisés pour déterminer cette durée ne sont indiqués (...) ».

- Il est également reproché un manquement à l'obligation de disposer d'une base légale pour les traitements mis en Suvre. Pendant l'instruction du dossier, Google a indiqué à la CNIL que la base légale des traitements était le consentement des utilisateurs. Or, la formation restreinte de la CNIL considère en l'espèce, qu'au regard des modalités de recueil de ce consentement mises en oeuvre, celui‐ci ne constitue pas une manifestation de volonté spécifique, éclairée et univoque. Le message de la CNIL est clair, et il n'est pas nouveau : les mentions d'information des personnes doivent être claires et compréhensibles : les rédactions de type « nous traitons les données pour des finalités déterminées » doivent être bannies.

LA DETERMINATION DU RESPONSABLE DE TRAITEMENT ET LA COMPETENCE DE LA CNIL

Cette décision est également très intéressante sur les questions liées à la détermination du responsable de traitement et à la compétence de la CNIL.

Là encore, la formation restreinte de la CNIL ne fait que reprendre la position exprimée par les différentes autorités depuis l'adoption du RGPD.

En effet, Google contestait la compétence de la CNIL au motif que Google Irlande était « établissement principal » (au sens de l'article 4 (16) du RGPD) et que seule l'autorité de protection des données Irlandaise était compétente.

La CNIL rejette cet argument et rappelle que les lignes directrices WP244 du G29 (reprises par le CEPD1) indiquent que « (...) l'administration centrale est le lieu où sont prises les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel, et ce lieu a le pouvoir de faire appliquer ces décisions ».

La formation restreinte rappelle également à l'attention de Google mais très certainement également à l'attention d'autres groupes qui seraient tentés de mettre en place une stratégie similaire que « Le règlement général n'autorise pas l'élection de juridiction (« forum shopping ») (...) Les conclusions ne peuvent reposer exclusivement sur les déclarations de l'organisation considérée ».

La formation restreinte de la CNIL a analysé l'argumentaire et les pièces communiquées par Google et a considéré que « les éléments fournis ne démontrent pas par eux‐mêmes que la société Google Ireland Limited aurait disposé, à la date d'engagement des poursuites, d'un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements (...) ».

La formation restreinte ajoute que l'entité irlandaise n'est pas mentionnée dans les « Règles de confidentialité » de Google et qu'aucun délégué à la protection des données n'avait été désigné auprès de l'autorité de protection des données irlandaise.

Au regard de ces éléments, la formation restreinte a considéré que le responsable de traitement était l'entité américaine Google LLC et que la CNIL était compétente pour traiter des plaintes concernant des traitements mis en Suvre par un responsable de traitement situé en dehors de l'Union européenne et utilisant des moyens de traitement sur le territoire national.

QUELLES LEÇONS TIRER DE CETTE DECISION ?

L'argumentaire développé par la CNIL permettra à d'autres responsables de traitement de comprendre qu'il ne sert à rien de mettre en Suvre des stratégies destinées à échapper aux règles posées par le RGPD, et plus particulièrement dans le domaine de la détermination de l'autorité compétente. Dans ce domaine, comme dans d'autres, les faits peuvent être têtus, et s'il existe des cas où il est difficile de déterminer le responsable de traitement, lorsque la détermination est simple à opérer, il ne sert à rien de tenter de mettre en Suvre des stratégies consistant à « choisir son autorité de protection des données » contre l'évidence.

Concernant les modalités d'information des personnes, comme d'ailleurs pour de nombreuses obligations prévues par le RGPD, les principes posés par les textes sont clairs : les responsables de traitement doivent mettre en Suvre des traitements qui respectent les principes de protection des données et doivent documenter cette conformité :c'est ce que l'on appelle l'accountability.

Or, les autorités considèrent que si le responsable de traitement a bien documenté sa conformité, rien ne l'empêche de rédiger des mentions d'informations relativement précises.

Dans le passé, il était fréquent de trouver des mentions d'information relativement génériques. Parfois l'objectif du responsable de traitement n'était pas nécessairement de tromper les personnes concernées, mais plutôt d'éviter d'avoir à modifier ces mentions à chaque fois que le traitement évoluait un peu.

Les responsables de traitement qui travaillaient ainsi, mais qui se doutaient que le RGPD les obligerait à changer leur pratique peuvent lire cette décision comme une confirmation de leur pressentiment... les autorités de protection des données ne veulent plus voir ces formulations génériques et floues.

QUEL MESSAGE Y A‐T‐IL DERRIERE LE MONTANT DE CETTE SANCTION ?

Bien entendu, le montant de la sanction est très important. Certains commentateurs considèrent qu'il reste modéré au regard du chiffre d'affaires du groupe. Il ne faut pas oublier qu'il s'agit de la 1ère sanction prononcée par la CNIL pour violation du RGPD. Il est également important d'analyser le montant de cette sanction à la lumière des sanctions prononcées par la CNIL au cours des derniers mois. Jusqu'à l'année 2017, une sanction d'un montant de 50 000€ ou 60 000€ prononcée à l'encontre d'une entreprise française de taille moyenne était considérée comme importante. Or, depuis quelques temps le montant des sanctions prononcées par la CNIL a beaucoup augmenté. Les dernières sanctions dépassent les 100 000€ pour des groupes français. Certains pensent certainement que des montants de l'ordre de 50 millions d'euros sont réservés aux entreprises d'outre Atlantique, et c'est surement vrai, dans la plupart des cas. En revanche, il ne faut pas croire que des montants de l'ordre de 100 000€ ou 150 000€ pour une société française constituera un maximum en toutes hypothèse.

Footnote

1 Comité Européen à la Protection des Données

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.