Douze mois après l’entrée en application du Règlement Général sur la Protection des Données (RGPD)[1],
nul doute que sa mise en œuvre continue à mobiliser les acteurs privés comme les acteurs publics.
Dès le 25 mai 2018, l’association None Of Your Business (NOYB – « Ce n’est pas tes oignons »), créée par l’autrichien Maximilien Schrems (le « tombeur » du Safe Harbor[2]) déposait quatre plaintes collectives auprès des Autorités de Contrôle Nationales (ACN), respectivement contre WhatsApp à Hambourg, Instagram/Facebook en Belgique, Facebook en Autriche et Google en France.
Cinq mois plus tard, le 11 octobre 2018, la première sanction administrative post-RGPD était prononcée par l’ACN portugaise, à savoir une amende de 400 000 € à l’encontre du Centre Hospitalier Barreiro-Montijo[3] pour une faiblesse dans la gestion des comptes au Portugal. Ce dernier avait délivré des habilitations à 985 médecins afin d’accéder aux dossiers médicaux des patients, alors que l’établissement ne comptait que 296 médecins titulaires.
Cependant, le signal le plus visible pour le grand public a été envoyé par la CNIL le 21 janvier 2019 sous la forme d’une amende administrative de 50 millions d’euros à l’encontre de Google LLC[4]. Sans surprise, la multinationale annonçait deux jours plus tard qu’elle interjetait appel de cette décision devant le Conseil d’État.
Une amende de 50 millions d’euros à l’encontre de Google LLC
Cette sanction fait suite aux plaintes collectives déposées par NOYB et l’association La Quadrature du Net, cumulant toutes les deux les réclamations de 9 974 personnes. Pour les instruire, la CNIL s’est fondée sur les résultats d’un contrôle en ligne lui permettant d’analyser le parcours d’un utilisateur lors de la configuration initiale de son mobile utilisant Android.
Deux séries de manquements au RGPD en ressortent : une transparence largement insuffisante et une absence de consentement pour les traitements de personnalisation de la publicité.
La CNIL reproche tout d’abord à Google LLC « un défaut global d’accessibilité aux informations ». Ces informations essentielles[5] doivent, pourtant, être obligatoirement délivrées à la personne concernée en cas de collecte de ses données[6]. En effet, la CNIL estime que « les informations qui doivent être communiquées aux personnes en application de l’article 13 sont excessivement éparpillées dans plusieurs documents : Règles de confidentialité et conditions d’utilisation, affiché au cours de la création du compte, puis Conditions d’utilisation et Règles de confidentialité qui sont accessibles dans un deuxième temps au moyen de liens cliquables figurant sur le premier document ». L’information pertinente ne devient accessible qu’à la suite de plusieurs étapes[7]. Ces difficultés empêcheraient les « utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée ».
La CNIL reproche ensuite à la multinationale une absence de consentement pour les traitements de personnalisation de la publicité, absence liée à une transparence largement insuffisante. L’utilisateur ignore l’objet réel de son consentement « alors même que ces traitements impliquent pourtant une pluralité de services (par exemple : Google search, YouTube, Google home(…) ». Insuffisamment éclairée, son autorisation n’est ni spécifique (c’est-à-dire distincte pour chaque finalité), ni univoque. Ces deux conditions sont pourtant explicitement exigées par le RGPD[8]. Le procédé reproché à Google[9] pousse à consentir « en bloc » pour toutes les finalités poursuivies (personnalisation de la publicité, reconnaissance vocale, etc.). Et bien qu’existe la possibilité de cliquer sur « plus d’options » pour accéder au paramétrage, l’affichage d’annonces personnalisées est pré-coché par défaut. Or, le consentement n’est univoque que si l’utilisateur effectue un « acte positif par lequel [il] consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement ».
Pour autant, il nous semble que dans cette affaire la Cnil fait un usage modéré de son pouvoir de sanction[10].
L’usage modéré de son pouvoir de sanction par la CNIL
Au regard, tout d’abord, du montant fixé. Certes, la somme de 50 millions d’euros est retenue, ce qui, comparée aux précédentes sanctions prononcées par la CNIL à l’encontre de Google Inc., pourrait laisser penser à un effet dissuasif et contraignant. En 2014, la plateforme s’était vu infliger une amende de 150 000 €[11] correspondant à la sanction maximale que pouvait prononcer la Commission à cette époque. Néanmoins, on peut aussi argumenter que le RGPD permet aux ACN de prononcer une amende administrative de 4 % du chiffre d’affaires annuel global. Le chiffre d’affaire d’Alphabet, la maison mère de Google, étant de 136,22 milliards de dollars en 2018, la multinationale aurait pu se voir infliger une amende de 5,44 milliards de dollars (4,82 milliards d’euros)[12]. Pour mémoire, la société mère de la plateforme s’est d’ailleurs vue infliger en juin 2017 une amende de 2,42 milliards d’euros par la Commission européenne pour abus de position dominante sur le marché des moteurs de recherche en favorisant son propre service de comparaison de prix dans ses résultats de recherche et en rétrogradant ceux de ses concurrents[13].
Au regard, ensuite, des faits reprochés. Si le périmètre du contrôle en ligne s’est limité au seul cas d’usage de la création du compte[14], la Cnil souligne que la pluralité des services fournis par Google[15] lui offre une variété de données[16] fournies par un nombre important d’utilisateurs caractérisant ainsi un traitement massif et intrusif[17]. Elle en conclue que « les données traitées par la société touchent au plus près [des] identités et [de] l’intimité » des millions de Français. Par ailleurs, la Commission relève elle-même qu’il s’agit non pas « d’une méconnaissance ponctuelle » mais de manquements qui « perdurent à ce jour et sont des violations continues du Règlement ».
Au regard, enfin, des effets sur la concurrence. Ainsi que le souligne la Cnil, le système d’exploitation Android sur le marché français des systèmes d’exploitation mobiles occupe une « place prépondérante », environ 75% des utilisateurs de smartphones étant concernés. Dans le même temps, les entreprises ont investi de fortes sommes afin de se conformer aux obligations définies par le RGPD. En mai 2017, Sia Partners estimait que « le secteur de la banque et de l'assurance (BNP Paribas, Société Générale, Crédit Agricole, AXA) devrait signer les plus gros chèques, avec une facture moyenne de 100 millions d'euros par entreprise, contre 35 millions pour les autres groupes s'adressant directement aux consommateurs »[18]. Ces chiffres nous ont été depuis confirmés par certaines entreprises.
Et cette situation de déséquilibre concurrentiel concerne d’autres géants du Net et est loin d’être nouvelle. En juin 2013, UFC Que choisir lançait des actions en justice contre Twitter, Google Inc. et Facebook. Il faudra attendre 5 ans, très exactement le 7 août 2018, pour que le Tribunal de Grande Instance de Paris (TGI) déclare illicites ou abusives et donc réputées non écrites, 265 des clauses actuelles ou anciennes de Twitter[19]. De même, respectivement le 12 février 2019 et le 9 avril 2019, ce même tribunal jugeait illicites 38 clauses de Google Inc.[20] et 430 des 431 clauses de Facebook[21] ! La décision de 293 pages concernant Facebook démontre, s’il en était besoin, le problème d’effectivité de la protection des données personnelles. Pour autant, dans chacune des trois affaires, les réseaux sociaux sont condamnés à verser à l’UFC Que choisir 30 000 € « en réparation du préjudice moral ayant été occasionné à l’intérêt collectif des consommateurs » ainsi qu’une indemnité de 20 000 € pour les frais engagés « compte tenu de l’extrême longueur de cette procédure ».
Au moins ces assignations ont-elles permis au TGI de Paris d’affirmer les principes de l’application de la loi Informatique et Libertés et du droit de la consommation. Elles ont également incité les plateformes à modifier leurs conditions contractuelles. Ainsi, concomitamment au prononcé du jugement du TGI de Paris, Facebook modifiait, à la demande de la Commission européenne et à celle du réseau de coopération en matière de protection des consommateurs[22], ses conditions d’utilisation relatives à l’exploitation des données de ses utilisateurs pour développer des activités de profilage et cibler la publicité pour financer la société[23]. Pour autant, ces simples modifications contribuent-elles effectivement à la protection de la vie privée et la liberté de circulation de dizaines de millions de personnes ?
Au-delà de la question de la proportionnalité des sanctions prononcées, et du déséquilibre concurrentiel, apparait en filigrane la problématique de la valeur économique de nos données personnelles. L’ISOC France, par exemple, a engagé le 8 novembre 2018 une action collective réparatrice à l’encontre de Facebook. L’ONG considère que les sept griefs retenus, s’ils ne sont pas démentis, pourraient valoir un préjudice indemnisable à hauteur de 1 000 € par personne. Mais la valeur (économique) de nos données personnelles, prolongement de notre identité et de notre personnalité même, doit-elle être réduite à la somme de 1 000 € ?
Au moins, la sanction de 50 millions d’euros prononcée par la CNIL en ce début d'année 2019 a-t-elle le mérite d’avoir lancé un véritable signal d’alarme et, espérons-le, d’avoir initié le mouvement d’une mise en œuvre effective du RGPD. Lors de la conférence de présentation de son bilan d'activité 2018, la nouvelle présidente de la Cnil, Madame Marie-Laure Denis, a prévenu :
« C'est la fin d'une certaine forme de tolérance liée à la transition ».
Il convient désormais d’attendre le résultat des nombreuses enquêtes ouvertes en France[24] et en Europe[25].
Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom Paris
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), JO L 119 du 4.5.2016, p. 1.
[2] Voir notre Édito de décembre 2016 : Privacy Shield : un bouclier à peine brandi déjà ébréché ?
[3] La première sanction RGPD est portugaise !, 26/11/2018, http://www.staub-associes.com/premiere-sanction-rgpd-portugaise/.
[4] Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC.
[5] Telles que les finalités du traitement de données, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité.
[6] Voir art. 12.1 et 13.1 du RGPD.
[7] La CNIL relève que cinq actions sont nécessaires pour accéder à la personnalisation de service et six pour la géolocalisation.
[8] Voir art. 4-11 du RGPD définissant le « consentement de la personne concernée » comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
[9] « Au moment de la création du compte, si l’utilisateur ne clique pas sur le bouton <plus d’options> afin de paramétrer son compte, il doit cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ».
[10] La Quadrature du net, Première sanction contre Google suite à nos plaintes collectives, 21 janvier 2019.
[11] Le contentieux concernait la politique de confidentialité de Google, qui avait fusionné en mars 2012 une soixantaine de règles d'utilisation en une seule, regroupant ainsi les informations de ses services autrefois séparés, comme la messagerie Gmail ou le réseau communautaire Google+. Malgré trois mois d'ultimatum, Google avait refusé de rendre conforme au droit français sa politique de confidentialité des données sur Internet. Délibération n°2013-420 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société X.
[12] https://fr.statista.com/statistiques/565392/chiffre-d-affaires-annuel-de-google/
[13] Pratiques anticoncurrentielles : la Commission inflige à Google une amende de 2,42 milliards d'euros pour abus de position dominante sur le marché des moteurs de recherche en favorisant son propre service de comparaison de prix, Bruxelles, le 27 juin 2017. La dernière amende européenne record pour ce type d’enquêtes, 1,06 milliard d’euros, avait été prononcée en 2009 à l’encontre d’Intel, le géant américain des semi-conducteurs.
[14] C’est-à-dire celui des « traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ».
[15] CNIL « estime que la société dispose d’opérations de combinaisons au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs », puis « au regard du nombre de services proposés - a minima une vingtaine ».
[16] La Cnil cite par exemple les données fournies par l’utilisateur lui-même lors de la création du compte et de l’utilisation du système d’exploitation, données issues de son activité telles que : l’historique de navigation web, l’historique d’usage des applications, la géolocalisation de l’équipement, les achats, données déduites d’informations fournies par la personne concernée ou par son activité, notamment dans le cadre de la personnalisation des annonces.
[17] Ainsi la décision souligne qu’« il s’agit donc d’informations nombreuses et particulièrement éclairantes sur les habitudes de vie des personnes, leurs opinions et interactions sociales ».
[18] https://www.lesechos.fr/2017/05/la-facture-du-rgpd-estimee-a-30-millions-deuros-171562.
[19] Précisément, les Conditions d’utilisation de Twitter, la Politique de confidentialité et les Règles de Twitter, Legalis, TGI de Paris, jugement du 7 aout 2018, UFC-Que Choisir / Twitter.
[20] Il s’agissait des Règles de confidentialité, au titre de ses éditions successives du 20 décembre 2013, du 31 mars 2014, du 19 décembre 2014, du 25 février 2015, du 1er mai 2015, du 5 juin 2015, du 30 juin 2015, du 19 août 2015, du 29 août 2015, du 25 mars 2016, du 28 juin 2016 et du 29 août 2016, et des Conditions d’utilisation, au titre des éditions successives du 11 novembre 2013 et du 30 avril 2014, Legalis, TGI de Paris, jugement du 12 février 2019, UFC-Que Choisir / Google Inc..
[21] À savoir sa déclaration des droits et responsabilités, sa politique des données, ses standards de la communauté facebook et le document cookies, pixels et technologies similaires», legalis, 430 clauses des cgu de facebook abusives et illicites.
[22] Sous l'égide de la direction générale française de la concurrence, de la consommation et de la répression des fraudes (DGCCRF)
[23] Commission européenne - Communiqué de presse du 9 avril 2019 : http://europa.eu/rapid/press-release_IP-19-2048_fr.htm.
[24] La Quadrature du net a en effet déposé auprès de la Cnil quatre autres actions collectives : contre Facebook (à la demande de 10 590 personnes)[24], Google (9 973 personnes), Apple (6 880 personnes), Amazon Europe (10 065 personnes) et LinkedIn (8 540 personnes).
[25] Retenons notamment que l’autorité de contrôle nationale hollandaise, qui a reçu des dizaines de plaintes d’internautes confrontés aux murs de cookies, a annoncé qu’elle comptait intensifier ses contrôles. En Irlande, la Data Protection Commission a ouvert 15 enquêtes, dont 10 à l’encontre de Facebook. Instagram, WhatsApp, Twitter, LinkedIn, Apple sont eux aussi visés. Data Protection Commission, Annual Report, 25 May – 31 December 2018, p. 50 et s., https://assets.documentcloud.org/documents/5753493/DPC-Annual-Report-25-May-31-December-2018.pdf