À l’origine de cette sanction, des plaintes, dès l’entrée en vigueur du RGPD au mois de mai dernier, des associations None Of Your Business (NOYB) et la Quadrature du Net (LQDN) qui reprochaient au moteur de recherche Google de « ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services » et notamment à des fins de personnalisation de la publicité.

Après avoir interrogé ses homologues européens pour vérifier si elle était compétente pour les traiter car le RGPD institue un mécanisme du « guichet unique » prévoyant qu’un organisme établi dans l’Union européenne doit avoir pour seule interlocutrice l’autorité du pays où est situé son « établissement principal »,  la CNIL a instruit ces deux plaintes et a procédé, en septembre 2018, à un contrôle en ligne pour « vérifier » la conformité à la loi informatique et libertés et au RGPD « des traitements de données personnelles réalisés par Google », en analysant « le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android ».

Sur la base des investigations menées, la formation restreinte a relevé deux séries de manquements au RGPD : un manquement aux obligations de transparence et d’information et un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité.

Il a tout d’abord été constaté que les informations fournies par Google ne sont pas « aisément accessibles pour les utilisateurs » car l’architecture générale de l’information « choisie » par la société « ne permet pas de respecter les obligations du Règlement ». Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont « excessivement disséminées dans plusieurs documents » qui comportent des boutons et liens qu’il est « nécessaire d’activer pour prendre connaissance d’informations complémentaires », ce qui fait que l’information pertinente n’est accessible qu’après « plusieurs étapes », impliquant parfois jusqu’à « cinq ou six actions ». Il en va ainsi de l’utilisateur qui veut, par exemple, « disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation », outre le fait que les informations ne sont pas toujours « claires et compréhensibles ».

Les utilisateurs ne sont pas, non plus, selon la CNIL, en mesure de comprendre l’ampleur des traitements mis en place par Google qui sont « particulièrement massifs et intrusifs », en raison de la vingtaine de services proposés, de la quantité et de la nature des données traitées et combinées. Il a été plus particulièrement relevé que les finalités sont décrites de façon « trop générique et vague » et l’information délivrée n’est pas « suffisamment claire » pour que l’utilisateur « comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement » et non « l’intérêt légitime de la société Google » qui ne précise d’ailleurs pas la durée de conservation de certaines données.

Google dit s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité mais la formation restreinte estime que le consentement n’est pas valablement recueilli pour deux raisons. D’une part, le consentement des utilisateurs n’est pas « suffisamment éclairé » dans la mesure où « l’information sur ces traitements, diluée dans plusieurs documents, ne permet pas à l’utilisateur de prendre conscience de leur ampleur » et, d’autre part, le consentement recueilli n’est pas « spécifique » et « univoque ».

Le RGPD n’est pas respecté, selon la CNIL, puisque l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage qui, de surcroît, mène à l’affichage d’annonces personnalisées pré-coché par défaut alors que le consentement n’est considéré comme « univoque » par le RGPD qu’à la condition que l’utilisateur effectue un acte positif. Avant de créer son compte, l’utilisateur est par ailleurs invité à cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte alors qu’un tel procédé conduit l’utilisateur à « consentir en bloc » pour toutes les finalités poursuivies par Google sur la base de cet accord alors que le consentement n’est « spécifique », comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.

La formation restreinteDélibération de la formation restreinte n° SAN-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC. condamne donc la société Google à une amende de 50 millions d’euros rendue publique, précisant qu’il s’agit de la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD. Le montant retenu, ainsi que la publicité de l’amende, se justifient, selon la CNIL, par « la gravité des manquements constatés » qui concernent les principes essentiels du RGPD que sont la transparence, l’information et le consentement.

Malgré les mesures mises en œuvre par Google (documentation et outils de paramétrage), les manquements constatés privent en effet les utilisateurs de garanties fondamentales concernant des traitements pouvant « révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées ». L’ampleur des traitements en cause, rappelle la formation restreinte, impose de permettre aux utilisateurs de « garder la maîtrise de leurs données » et donc de « suffisamment les informer et de les mettre en situation de consentir valablement ».

Les manquements retenus, loin d’être des manquements ponctuels délimités dans le temps, perdurent à ce jour, souligne la CNIL, et sont des « violations continues » du Règlement, relevant que compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français, ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte Google à l’occasion de l’utilisation de leur ordiphone.