Ce 21 janvier 2019 la CNIL, l’Autorité française de contrôle de la protection des données, a infligé à Google une amende record de 50.000.000 €. Que retenir de cette décision ?
La CNIL reproche à Google deux manquements principaux :
1. Manque de transparence et d’information
L’architecture générale de l’information fournie à un utilisateur créant un compte Google empêche celui-ci d’être pleinement, clairement et facilement informé sur la nature des données que Google traite ou traitera le concernant.
Les finalités de traitement sont trop génériques, trop vagues. Lorsque la base juridique du traitement est le consentement il y a confusion quant à la nature de la base juridique. En outre la personne concernée n’est pas informée de la durée de conservation de ses données.
2. Absence de base légale au traitement de données
Google invoque le consentement (art. 6, 1, a. du Règlement 2016/679) comme étant la base juridique au traitements nécessaire en vue de la personnalisation des publicités. Or la CNIL estime que ce consentement n’est pas valable recueilli pour deux raisons :
- Le consentement n’est pas suffisamment éclairé car l’information donnée à la personne concernée est diluée dans plusieurs documents.
- Le consentement recueilli n’est pas “spécifique” et “univoque”. Une case à cocher est pré-cochée, l’utilisateur n’effectuant dès lors pas un acte positif indiquant le caractère univoque de son consentement. Enfin, avant de créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par GOOGLE sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.). Or le consentement n’est « spécifique », comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.
Que retenir dès lors de cette décision dans le cadre de votre propre conformité au RGPD ?
Tout d’abord communiquez en toute transparence sur les traitements de données à caractère personnel que vous effectuez. Soyez concis, précis et aussi exhaustifs que possible. Ne vous contentez-pas d’un simple “charabia” juridique pour “donner le change”. Les informations à communiquer aux personnes concernées sont reprises aux articles 12, 13 et 14 du Règlement (UE) 2016/679.
Ensuite gardez à l’esprit que le consentement n’est pas la mère de tous les traitements de données à caractère personnel. L’article 6 du Règlement (UE) 2016/679 énumère les six bases légales à un traitement de données à caractère personnel, le consentement n’étant que l’une de celles-ci. Le consentement pouvant être retiré à tout moment par la personne concernée, et les conditions de validité de celui-ci étant extrêmement strictes, il convient (i) de n’utiliser le consentement comme base légale au traitement que lorsque aucune autre base légale n’existe et (ii) lorsque le consentement est la seule base légale possible obtenir celui-ci valablement et en conserver la preuve (Articles 7 et 8 du Règlement (UE) 2016/679).
