Le Conseil d’État valide la sanction prononcée à l’encontre de la société Google LLC

19 June 2020

Le 21 janvier 2019, la CNIL prononçait une sanction de 50 millions d’euros à l’encontre de la société Google LLC et décidait de rendre publique sa délibération. Saisi d’une requête pour invalider celle-ci, le Conseil d’État a validé la décision de la CNIL, confirmant ainsi une juste application des principes clés du RGPD.

Le 21 janvier 2019, la CNIL prononçait une amende de 50 millions d’euros à l’encontre de la société Google LLC pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

À la suite de plaintes déposées par les associations La Quadrature du Net et None of your business en mai 2018, la CNIL a procédé à des investigations relatives aux traitements de données personnelles effectués par la société Google LLC. Elle a ainsi analysé le parcours d’un utilisateur lors de la création d’un compte Google à partir d’un téléphone fonctionnant avec le système d’exploitation Android.

Sur la base de ces investigations, la CNIL a principalement retenu deux manquements au RGPD :

  • tout d’abord, la CNIL a considéré que les informations fournies à l’utilisateur au moment de la création d’un compte n’étaient pas toujours claires et facilement accessibles. En particulier, elle a relevé que des informations essentielles (sur les finalités, les durées de conservation ou les catégories de données pour la personnalisation de la publicité) étaient éparpillées sur plusieurs pages et que l’utilisateur devait parfois accomplir jusqu’à six actions pour y accéder. Elle a, en outre, relevé que les informations mises à disposition par Google étaient rédigées de façon trop vague, ce qui ne permettait pas aux utilisateurs de comprendre l’ampleur du traitement effectué par Google. La CNIL a en effet souligné que les données des utilisateurs étaient collectées à partir de nombreux services tels que Gmail, Google Maps ou YouTube, ce qui avait pour effet de rendre le traitement massif et intrusif.
  • Ensuite, la CNIL a estimé que le consentement des utilisateurs n’était pas valablement recueilli pour le traitement relatif à la personnalisation de la publicité. Elle a en effet relevé que le recueil du consentement se faisait au moyen d’une case précochée par défaut, ce qui n’était pas conforme aux exigences du RGPD.

Cette sanction reste, encore à ce jour, la plus importante en Europe décidée par les autorités de protection de données.

Saisi par la société Google LLC d’une requête pour invalider celle-ci, le Conseil d’État, dans sa décision du 19 juin 2020, a validé la décision de la CNIL. Il confirme ainsi une juste application des principes clés du RGPD.

Le Conseil d’État atteste ainsi qu’à l’époque des faits, la CNIL était bien compétente pour prendre une sanction à l’encontre de Google, les décisions en cause n’étant pas prises par son établissement irlandais mais par la société Google LLC implantée aux États-Unis. Il s’ensuit que le système du « guichet unique » prévu par le RGPD n’était pas applicable et que la CNIL avait compétence pour sanctionner la société. Elle l’a fait en appliquant le nouveau cadre européen tel qu’il a été interprété par l’ensemble des autorités européennes dans les lignes directrices du Comité européen de protection des données.

Il confirme également que la CNIL a fait une juste application des principes clés du RGPD relatifs à la transparence, à l’information des utilisateurs et à la nécessité d’un consentement valable pour la publicité personnalisée. Le Conseil d’État estime que les manquements de Google relevés par la CNIL sont constitués.

Ce sont ainsi les exigences de la CNIL en matière de transparence et de licéité face à un traitement massif et intrusif que le Conseil d’État a validées.

Keywords associated to this article