Sanctionné le 21 janvier 2019 pour des manquements concernant le traitement des données personnelles des utilisateurs du système d'exploitation Android, le géant américain du ciblage publicitaire Google s’en était remis au Conseil d'État pour solliciter l'annulation de cette sanction prise sur le fondement du Règlement général sur la protection des données (RGPD) qu’il jugeait irrégulière, infondée et, à tout le moins, excessive. Tous les arguments développés, tant au niveau procédural que sur le fond, seront rejetés sans ménagement.

Google a manqué à ses obligations d'information et de transparence

Le RGPD, rappelle la haute juridiction administrative, définit un ensemble d'informations que les responsables de traitement sont tenus de fournir aux personnes concernées et « de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et c’est ainsi que le Conseil d'ÉtatCE, 19 juin 2020, n° 430810, société Google LLC. confirme l'appréciation qui avait été celle de la CNIL sur l'information mise à disposition des utilisateurs d'Android par Google concernant le traitement de leurs données. Il est considéré que son organisation en arborescence ne répond pas aux exigences de clarté et d'accessibilité requises par le RGPD, alors même que les traitements en cause sont « particulièrement intrusifs par leur nombre et la nature des données collectées », relevant en outre que l'information disponible est parfois « lacunaire », notamment s'agissant de la durée de conservation des données et des finalités des différents traitements opérés par Google qui, est-il souligné, ne met pas l'utilisateur à même de « donner un consentement libre et éclairé au traitement de ses données aux fins de personnalisation de la publicité ».

Le RGPD exige pourtant que l'utilisateur soit mis en mesure de donner son consentement de façon « libre, spécifique, éclairée et univoque » au traitement de ses données personnelles, ce qui suppose « une présentation claire et distincte » de l'ensemble des utilisations qui seront faites des données recueillies.

Il est ainsi relevé que l'utilisateur qui souhaite créer un compte Google pour utiliser le système Android est d'abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité. L'information sur le ciblage publicitaire qui lui est fournie à cette étape est « générale et diluée » au milieu d'informations relatives à d'autres finalités alors que le recueil du consentement est, à ce premier niveau, effectué de manière globale pour l'ensemble des finalités poursuivies par le traitement des données. Le Conseil d'État va dans le sens de la CNIL qui avait retenu que l'information relative au ciblage publicitaire n'est pas présentée de manière suffisamment claire et distincte pour que le consentement de l'utilisateur soit valablement recueilli. 

S’il est vrai que l'utilisateur peut obtenir une information complémentaire sur le ciblage publicitaire en cliquant sur un lien « plus d'options » et qu'il est alors invité à donner un consentement spécifique à cette finalité, le Conseil d'Etat estime néanmoins que l'information fournie à ce deuxième niveau par Google est, là encore, « insuffisante » et, de surcroît, le consentement y est recueilli au moyen d'une case pré-cochée.

La sanction de 50 millions d'euros n'est pas disproportionnée

Compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD et de la situation financière de Google, la sanction de 50 millions d'euros prononcée par la CNIL n'est pas jugée disproportionnée.