Que retenir de la sanction de Google LLC par la CNIL ?

Que retenir de la sanction de Google LLC par la CNIL ?
En janvier 2019, la CNIL a annoncé une sanction de 50 millions d’euros à l’encontre de Google LLC, pour non conformité de sons système de création de compte sous Androïd à des dispositions du RGPD (base du traitement, transparence et information de l’utilisateur.
Le montant de la sanction peut sembler ridicule au regard du chiffre d’affaire de Google LLC mais ce montant n’est pas le seul à considérer dans cette sanction.

Il est important de déclarer une autorité chef de file

Google LLC réalise des traitements de données transfontalier. Le siège social de Google LLC en Europe étant en Irlande, Google LLC avait assumé que l’autorité chef de file est la Data Protection Commision (CNIL irlandaise) . Google et ses avocats, ont donc soutenu que la CNIL n’était pas compétente pour mener la procédure de sanction. Nous n’allons pas nous étendre sur l’argumentaire de Google concernant l’établissement principal, le responsable de traitement et le siège social.

Les points importants sont d’une part que l’autorité irlandaise avait indiqué ne pas être autorité chef de file pour Google; d’autre part, la CNIL a consulté toutes les autres autorités pour savoir si l’une d’elle se considérait comme autorité chef de file et remettait donc en cause la compétence de la CNIL. Il va sans dire que les réponses obtenues ont confirmé la compétence de la CNIL dans la procédure enclenchée.

Google LLC ne disposant pas d’une autorité chef de file, ne bénéficie donc pas des avantages du guichet unique et en particulier, doit donc répondre à toute autorité de contrôle européenne. l’ICO en Angleterre, le CNPD au Luxembourg ou toute autre autorité peut donc être saisi d’une plainte à l’encontre de Google, plainte que chaque autorité sera compétente à traiter.

Il est donc important de retenir que :

  1. Le dialogue est établi entre les différentes autorités et ce dialogue est efficace
  2. Si vous effectuez des traitements transfrontaliers, il faut déclarer votre autorité chef de file (voici le lien pour faire la déclaration auprès de la CNIL)

Une base légale est importante, être transparent aussi

L’un des éléments qui a conduit aux plaintes déposées auprès de la CNIL (plaintes déposées les 25 mai et 28 Mai ! ils étaient prêts!) est l’absence de base légale pour les traitements réalisés par Google LLC.

En effet, pour qu’un traitement soit licite au sens du RGPD, il est indispensable que ce traitement soit fait sur l’une des 6 bases légales suivantes :

  1. consentement de la personne concernée,
  2. exécution d’un contrat auquel la personne concernée est partie ou exécution de mesures pré-contractuelles prises à la demande de celle-ci
  3. respect d’une obligation légale à laquelle le responsable de traitement est soumis
  4. sauvegarde des intérêts vitaux de la personne concerne ou d’une autre personne physique
  5. exécution d’une mission d’intérêt publique dont est investi le responsable de traitement
  6. intérêts légitimes poursuivis par le responsable de traitement

Dans le cas de création de compte utilisateur android, la seule base légale possible est le consentement. Or ce consentement n’était pas recueilli dans le respect des exigences du RGPD; en particulier, les informations fournies aux utilisateurs n’étaient pas claires.

Pour savoir quelles données étaient traitées par Google et à quelle fin, l’utilisateur qui veut créer un compte android doit effectuer de nombreuses manipulation et recouper des informations contenues dans différents paragraphes. Ceci rend donc l’opération difficile et la CNIL a considéré que dans ces conditions il y’avait un manque de transparence et d’information.

En outre, le consentement est demandé pour tous les traitements et non part traitement. Si l’utilisateur souhaite préciser pour quels traitements il donne son consentement, c’est à lui d’ouvrir les options spécifiques et de décocher les cases correspondants. Le consentement a donc été considéré comme n’étant pas spécifique et univoque.

Que retenir : il est important de disposer d’une base légale pour un traitement. Si la base légale retenu est le consentement, celui-ci doit être recueilli et conservé dans le respect des exigences du RGPD.

Une non conformité peut conduire à l’arrêt d’un service

Suite aux plaintes qu’elle a reçue à l’encontre de Google LLC, la CNIL a procédé à des contôles  en ligne :

  • Le procès-verbal de contrôle a été notifié aux sociétés GOOGLE LLC. et Google France SARL les 24 et 25 septembre 2018.
  • Les deux sociétés ont également eu communication des plaintes susmentionnées par courriers de la CNIL le 28 septembre 2018.

Début Octobre 2018, Google a annoncé une (énième) importante faille de sécurité dans son réseau social Google+, ainsi que sa décision de fermer ce réseau social sous 10 mois. Google+ sera donc progressivement fermé jusqu’à sa fermeture au grand public.

Coïncidence ?

Cela est peu probable. Début 2018, Google+ avait déjà fait l’objet d’une faille de sécurité critique conduisant à d’importantes violations de données. L’événement étant survenu avant l’entrée en vigueur du RGPD, Google n’avait aucune obligation de notification aux autorités et les conséquences étaient relativemet faibles aux regards de ce qui est prévu dans le RGPD. Bien que le réseau social Google+ ne soit pas aussi utilisé que l’aurait souhaité Google, cette société avait toujours choisi de maintenir ce réseau social.

Il est donc difficile de croire que la décision survenu en octobre, de fermer le réseau social, ne soit pas liée aux actions entreprises par la CNIL.

Au-delà de la sanction pécuniaire, une non conformité au RGPD peut donc conduire à l’arrêt pur et simple d’un service.

2019-02-07T08:06:22+00:00