Le 21 janvier 2019, une formation restreinte de la CNIL a condamné la société Google LLC à 50M€ en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Cette condamnation intervenait après des plaintes collectives des associations None of Your Business et la Quadrature du Net (QDN) ayant fédérés près de 10.000 signatures pour saisir la CNIL. Dans le même temps, le règlement européen pour la protection de données (RGPD) entrait en vigueur en France le 25 mai 2018. Ce texte encadre le traitement des données personnelles sur le territoire de l’Union européenne et s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978. Le RGPD a pour principales motivation de permettre aux citoyens de conserver la maitrise de leurs données personnelles notamment face aux géants du numérique.

Le CNIL assemblé en formation restreinte reproche à la société deux manquements fondamentaux au Règlement européen sur la protection des données : un manquement aux obligations de transparence et d’informations ainsi qu’un manquement l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité.

1. Le manquement à l’obligation de transparence et d’informations

La formation restreinte du CNIL reproche a Google la complexité d’accessibilité des informations pour les utilisateurs. En effet, il semblerait que des informations, mêmes les plus essentielles, sont excessivement disséminés dans plusieurs documents auxquels l’accès nécessite de cliquer sur différents boutons et liens ne favorisant pas une transparence effective. Parmi ces informations on retrouve notamment : les informations relatives à la collecte de données pour la personnalisation de la publicité ou la géolocalisation ou encore la durée de conservation des données.
La formation restreinte relève que les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par GOOGLE et notamment dans les finalités.

2. Le manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La formation restreinte du CNIL reproche à la société GOOGLE de ne pas expressément demander le consentement des utilisateurs concernant le traitement de leurs données et notamment pour deux raisons :
• L’absence de consentement éclairé des utilisateurs, l’information sur ces traitements étant massivement dilué dans plusieurs documents.
• Le consentement des utilisateurs n’est pas « spécifique » et « univoque ».

Or le RGPD exige clairement que le caractère « univoque » du consentement résulte d’un acte positif de l’utilisateur, ce qui n’est pas le cas en l’espèce. Le RGPD exige, de plus, que le caractère « spécifique » du consentement soit donné de manière distincte pour chaque finalité.

Saisi par la société Google LLC d’une requête pour invalider celle-ci, le Conseil d’État, dans sa décision du 19 juin 2020, a validé la décision de la CNIL. Il confirme ainsi une juste application des principes clés du RGPD.

Dans cette décision, le Conseil d’Etat revient sur les moyens invoqués par la société GOOGLE LLC et notamment sur la compétence de la CNIL pour prendre une sanction à l’égard de la société américaine. La juridiction suprême rappelle que les décisions en cause n’étant pas prises par son établissement irlandais mais par la société Google LLC implantée aux États-Unis, le système du « guichet unique » prévu par le RGPD n’était pas applicable et dès lors la CNIL avait compétence pour sanctionner la société.

De plus, le Conseil d’Etat confirme également que la CNIL a fait une juste application des principes clés du RGPD relatifs à la transparence, à l’information des utilisateurs et à la nécessité d’un consentement valable pour la publicité personnalisée. Le Conseil d’État estime que les manquements de Google relevés par la CNIL sont constitués.