Délibération SAN-2019-001 du 21 janvier 2019

Commission Nationale de l'Informatique et des Libertés
Délibération n°SAN-2019-001 du 21 janvier 2019
Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, Mme Dominique CASTERA, Mme Marie-Hélène MITJAVILE et M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi
n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2018-199C du 20 septembre 2018 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement relatif à l’utilisation du système d’exploitation Android pour mobile multifonction incluant la création d’un compte Google ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 2 octobre 2018 ;

Vu le rapport de M. François PELLEGRINI, commissaire rapporteur, du 22 octobre 2018 ;

Vu les observations écrites versées par la société Google LLC. le 22 novembre 2018 ;

Vu les observations en réponse du commissaire rapporteur du 7 décembre 2018 ;

Vu les observations en réponse versées par la société Google LLC. le 4 janvier 2019 ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 15 janvier 2019 :

M. François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentants de la société Google LLC. :

En qualité de conseils de la société Google LLC. ;

[…]

Mme Eve JULLIEN, commissaire du Gouvernement, n’ayant pas formulé d’observation ;

La société ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

Faits et procédure

Fondée en 1998, la société Google LLC. (ci-après Google ou la société ) est une société à responsabilité limitée de droit américain dont le siège social est situé à Moutain View, en Californie (Etats-Unis).

Filiale à 100% de la société ALPHABET depuis 2015, la société a réalisé un chiffre d’affaires de 109,7 milliards de dollars (soit environ 96 milliards d’euros) en 2017. Elle possède plus de 70 bureaux implantés dans une cinquantaine de pays et compte environ 70 000 salariés à travers le monde. En France, elle dispose d’un établissement, la société Google France Sarl, située 8 rue de Londres à Paris (75009), qui compte environ 600 salariés et a réalisé un chiffre d’affaires d’environ 325 millions d’euros en 2017.

Depuis qu’elle existe, la société a développé une pluralité de services à destination des entreprises et des particuliers (ex : le service de messagerie Gmail, le moteur de recherche Google Search, YouTube etc.). Elle a également conçu le système d’exploitation pour les terminaux mobiles Android qui comprend le magasin d’applications Google Play. La société exerce en outre une activité de régie publicitaire.

En 2016, ce système d’exploitation comptait 27 millions d’utilisateurs en France.

Les 25 et 28 mai 2018, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été saisie de deux plaintes collectives déposées en application de l’article 80 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données, ci-après RGPD ou le Règlement ) respectivement par l’association None Of Your Business (ci-après NOYB ) et l’association La Quadrature du Net (ci-après LQDN ). De manière cumulée, ces plaintes regroupent les réclamations de 9974 personnes.

Dans sa plainte, l’association NOYB indique notamment que les utilisateurs de terminaux mobiles Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google et qu’à défaut d’une telle acceptation, ils ne pourraient utiliser leur terminal.

L’association LQDN estime quant à elle, qu’indépendamment du terminal utilisé, Google ne dispose pas de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire.

Le 1er juin 2018, la CNIL a soumis les plaintes précitées à ses homologues européens via le système européen d’échange d’information en vue de la désignation d’une éventuelle autorité chef de file conformément aux dispositions de l’article 56 du RGPD.

En application de la décision n° 2018-199C du 20 septembre 2018 de la Présidente de la Commission, un contrôle en ligne a été effectué le 21 septembre suivant afin de vérifier la conformité de tout traitement relatif à l’utilisation du système d’exploitation Android pour équipement mobile, incluant la création d’un compte Google, à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après loi Informatique et Libertés ou loi du 6 janvier 1978 ) et au RGPD.

Le procès-verbal de contrôle en ligne n° 2018-199/1 a été notifié aux sociétés GOOGLE LLC. et Google France SARL les 24 et 25 septembre 2018.

Les deux sociétés ont également eu communication des plaintes susmentionnées par courriers de la CNIL le 28 septembre 2018.

Aux fins d’instruction de ces éléments, la Présidente de la CNIL a désigné, le 2 octobre 2018, M. François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 47 de la loi du 6 janvier 1978.

A l’issue de son instruction, le rapporteur a fait notifier aux sociétés Google LLC. et Google France SARL, le 22 octobre 2018, un rapport détaillant des manquements relatifs aux articles 6, 12 et 13 du RGPD qu’il estimait constitués en l’espèce.

Ce rapport proposait à la formation restreinte de la CNIL de prononcer à l’encontre de la société Google LLC. une sanction pécuniaire de 50 millions d’euros, rendue publique. Il était également proposé son insertion dans une publication, journal ou support que la formation restreinte désignerait.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 10 janvier 2019. L’organisme disposait d’un délai d’un mois pour communiquer ses observations écrites.

Par lettre du 7 novembre 2018, la société a demandé une audition au rapporteur, à laquelle il n’a pas été fait droit par courrier du 13 novembre 2018. A la même date, la société a également formulé une demande de huis-clos et de report de séance, à laquelle il n’a pas été fait droit, par courrier du 15 novembre 2018.

Le 22 novembre 2018, la société a produit des observations écrites sur le rapport. Ces observations ont fait l’objet d’une réponse du rapporteur le 7 décembre 2018.

Par lettre du 11 décembre 2018, la société, qui disposait de quinze jours à compter de la réception de la réponse du rapporteur, a sollicité de la part du Président de la formation restreinte le report de la séance ainsi qu’une extension du délai pour produire ses nouvelles observations. La demande a été acceptée par le Président de la formation restreinte le 13 décembre 2018, qui a décidé, d’une part, de repousser de deux semaines - jusqu’au 7 janvier - le délai de production de ces observations et, d’autre part, de reporter la séance au 15 janvier 2019.

Le 4 janvier 2019, la société a produit de nouvelles observations en réponse à celles du rapporteur.

L’ensemble des observations a été réitéré oralement par la société et le rapporteur lors de la séance de la formation restreinte du 15 janvier 2019.

II.Motifs de la décision

1.Sur la compétence de la CNIL

L’article 55 paragraphe 1 du RGPD dispose : Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève .

L’article 56 paragraphe 1 du RGPD dispose : Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60 .

La société soutient tout d’abord que la CNIL n’est pas compétente pour mener cette procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (Data Protection Commission, ci-après DPC ) à laquelle il appartiendrait, en tant qu’autorité chef de file de Google, de traiter ces plaintes portant sur des traitements transfrontaliers, et ce conformément à la procédure de coopération établie à l’article 60 du RGPD. La société considère en effet que la société Google Ireland Limited doit être considérée comme son établissement principal au sein de l’Union européenne pour certains des traitements transfrontaliers qu’elle met en œuvre, et notamment ceux objets des plaintes reçues par la CNIL. Par conséquent, l’autorité de protection des données devrait selon elle être regardée comme son autorité de contrôle chef de file et être chargée, à ce titre, de traiter les plaintes reçues par la CNIL.

Pour attester du fait que la société Google Ireland Limited constitue son établissement principal au sein de l’Union, elle précise que cette société est le siège social de Google pour ses opérations européennes depuis 2003 et qu’elle est l’entité en charge de plusieurs fonctions organisationnelles nécessaires à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.). Elle indique également que la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne relève de cette société. Cette société emploie plus de 3 600 salariés et dispose, entre autres, d’une équipe dédiée en charge de la gestion des demandes faites au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée. Elle précise enfin qu’une réorganisation tant opérationnelle qu’organisationnelle est en cours en vue de faire de la société Google Ireland Limited le responsable de traitement pour certains traitements de données à caractère personnel concernant les ressortissants européens.

Elle considère également que la définition d’établissement principal doit être distinguée de celle de responsable de traitement et que si le législateur européen avait voulu que la notion d’établissement principal soit interprétée comme le lieu où les décisions concernant les traitements sont prises, il l’aurait expressément indiqué.

Elle considère ensuite que, compte tenu de la nature transfrontalière des traitements de personnalisation de la publicité, du nombre significatif d’utilisateurs d’Android en Europe et des questions soulevées en lien avec ces traitements, les mécanismes de coopération et de cohérence tels que prévus aux articles 60, 64 et 65 du RGPD auraient dû s’appliquer. Elle précise notamment que le Comité européen de la protection des données (ci-après CEPD ) aurait dû être saisi en cas de doute sur la détermination de l’autorité chef de file.

Enfin, la société estime que les discussions informelles qui ont pu avoir lieu entre les autres autorités européennes de contrôle sur cette procédure sont sans effet juridique dès lors qu’elles ont eu lieu sans sa présence.

Sur la qualité d’établissement principal de la société Google Ireland Limited

L’article 4 (16) du RGPD définit la notion d’établissement principal de la manière suivante : a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal .

Le considérant 36 du RGPD précise quant à lui : L'établissement principal d'un responsable du traitement dans l'Union devrait être déterminé en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement dans le cadre d'un dispositif stable .

La formation restreinte considère qu’il résulte de ces dispositions que, pour pouvoir être qualifié d’établissement principal, l’établissement concerné doit disposer d’un pouvoir de décision vis-à-vis des traitements de données à caractère personnel en cause. La qualité d’établissement principal suppose en effet l’exercice effectif et réel d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement .

Dès lors, l’existence d’un établissement principal s’apprécie in concreto, au regard de critères objectifs, et l’établissement principal ne saurait correspondre automatiquement au siège social du responsable de traitement en Europe.

La formation restreinte relève que cette analyse est également celle retenue par l’ensemble des autorités européennes de contrôle, comme en attestent les lignes directrices du CEPD du 5 avril 2017 concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous-traitant (WP244). Ces dernières indiquent que : l’administration centrale est le lieu où sont prises les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel, et ce lieu a le pouvoir de faire appliquer ces décisions .

La formation restreinte relève en outre que ces mêmes lignes directrices indiquent que : Le règlement général n’autorise pas l’élection de juridiction (forum shopping)(…). Les conclusions ne peuvent reposer exclusivement sur des déclarations de l’organisation considérée .

Il convient ainsi d’apprécier les pouvoirs décisionnels dont dispose la société Google Ireland Limited pour déterminer si elle peut être qualifiée d’établissement principal.

A cet égard, la formation restreinte relève que la société Google Ireland Limited dispose certes de nombreux moyens financiers et humains qui permettent la fourniture effective de services par Google en Europe, notamment par le biais de la vente de prestations publicitaires.

Toutefois, si ces éléments attestent de cette participation, la formation restreinte considère qu’ils ne permettent pas d’emporter la qualification de la société Google Ireland Limited en tant qu’établissement principal. Les éléments fournis ne démontrent pas par eux-mêmes que la société Google Ireland Limited aurait disposé, à la date d’engagement des poursuites, d’un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android. Ces éléments révèlent seulement l’implication de cette entité dans le cadre de différentes activités de la société (activités financières et comptables, vente d’espaces publicitaires, passation de contrats etc.).

La formation restreinte relève par ailleurs que la société Google Ireland Limited n’est pas mentionnée dans les Règles de confidentialité de la société en date du 25 mai 2018 comme étant l’entité où sont prises les décisions principales quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android.

Elle souligne également que la société Google Ireland Limited n’a pas désigné de délégué à la protection des données qui serait en charge des traitements de données à caractère personnel qu’elle pourrait mettre en œuvre dans l’Union européenne. Elle relève en outre que le système d’exploitation Android est développé uniquement par la société Google LLC.

Enfin, la formation restreinte relève que la société a elle-même indiqué, par courrier en date du 3 décembre 2018 adressé à la DPC, que le transfert de responsabilité de Google LLC. vers la société Google Ireland Limited sur certains traitements de données à caractère personnel concernant les ressortissants européens serait finalisé le 31 janvier 2019. Elle a ultérieurement précisé procéder à la mise à jour de ses règles de confidentialité qui entreront en application le 22 janvier 2019.

Au vu de l’ensemble de ces éléments, la formation restreinte considère que la société Google Ireland Limited ne peut être considérée comme l’ établissement principal de la société Google LLC. en Europe au sens de l’article 4 (16) du RGPD, dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte à l’occasion de la configuration de son téléphone mobile sous Android.

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL était compétente pour engager cette procédure et pour exercer l’ensemble de ses pouvoirs au titre de l’article 58 du RGPD.

b) Sur l’application des procédures de coopération et de cohérence

En premier lieu, la société soutient que la CNIL aurait dû saisir le CEPD en raison de l’incertitude quant à l’identification de l’autorité de contrôle devant agir en qualité d’autorité chef de file.

La formation restreinte considère tout d’abord que l’absence d’établissement principal d’un responsable de traitement au sein de l’Union européenne n’engendre pas par elle-même d’incertitude sur l’identification d’une autorité de contrôle pouvant agir en qualité d’autorité chef de file. Il résulte seulement de cette absence d’établissement principal que l’identification d’une autorité chef de file n’a pas lieu d’être, et que le mécanisme de guichet unique n’a pas vocation à s’appliquer.

La formation restreinte relève ensuite que la CNIL a immédiatement communiqué les réclamations reçues à l’ensemble des autorités de contrôle, via le système européen d’échange d’information, en vue de l’identification d’une éventuelle autorité chef de file, conformément aux dispositions de l’article 56 du RGPD.

La formation restreinte note que, dans le cadre de cette procédure, aucune autorité de contrôle, ni le Président du Comité, n’ont jugé nécessaire de saisir le CEPD en raison d’incertitudes sur l’identification de l’autorité chef de file ou la compétence de la CNIL.

Elle observe en outre que l’analyse concluant à l’absence d’établissement principal de la société Google LLC. en Europe pour les traitements visés par les plaintes, et l’absence d’autorité chef de file qui en résulte, était partagée par la DPC.

Elle relève ainsi que la DPC a publiquement affirmé le 27 août 2018 - dans un article de presse de l’Irish Times - qu’elle n’était pas l’autorité chef de file pour les traitements qui pouvaient être mis en œuvre par la société : la Commission de protection des données n’est pas le "principal régulateur" de Google (ni, en termes de protection des données, son "autorité de contrôle chef de file") [...] Google LLC, société américaine, est le responsable de traitement et Google ne peut absolument pas se prévaloir du mécanisme de guichet unique. […]. La position actuelle est que Google est soumis au contrôle de toutes les autorités de contrôle européennes […] .

Il ne résulte dès lors pas de l’instruction qu’il aurait existé des doutes ou des points de vue divergents au sein des autorités de contrôle de nature à imposer une saisine du CEPD, conformément à l’article 65 du RGPD. Par ailleurs, compte tenu des lignes directrices déjà adoptées au niveau européen pour guider les autorités nationales dans l’identification de l’éventuelle autorité chef de file, il n’existait pas de question nouvelle justifiant la saisine du CEPD par la CNIL en application de l’article 64.

Compte tenu de l’ensemble de ces éléments, la formation restreinte considère que la CNIL n’était pas tenue de saisir le CEPD en vue de l’identification d’une autorité chef de file.

En second lieu, si la société soutient que la CNIL aurait dû coopérer sur l’instruction des plaintes et les suites qu’il convenait de leur apporter, la formation restreinte rappelle, ainsi qu’il a été dit précédemment, que la CNIL a communiqué, dès leur réception, les réclamations à l’ensemble des autorités de contrôle de l’Union européenne, via le système européen d’échange d’information, en vue de l’identification d’une éventuelle autorité chef de file.

La formation restreinte relève ainsi qu’une procédure de coopération a bien été engagée avec les autorités de contrôle, et ce conformément aux dispositions de l’article 56 du RGPD, dans un premier temps sur la seule question de l’identification des compétences respectives de ces autorités.

La formation restreinte observe que cette étape de diffusion d’information et de détermination d’une éventuelle autorité chef de file constitue un préalable à l’application éventuelle du mécanisme du guichet unique prévu à l’article 60 du RGPD.

La formation relève ensuite que cette démarche et les échanges qui en ont résulté n’ayant pas conduit à identifier un établissement principal ni, par suite, une autorité chef de file, aucune autre obligation de coopération ne s’imposait ultérieurement à la CNIL, notamment au titre de l’article 60 du RGPD.

La formation restreinte rappelle enfin que, dans un souci de cohérence, conformément aux orientations rappelées à l’article 63 du RGPD, la CNIL a informé et consulté ses homologues européens à plusieurs reprises sur les investigations qu’elle a menées, et tenu le plus grand compte des lignes directrices adoptées par le CEPD en vue d’assurer une application uniforme du règlement.

Compte tenu de ces éléments, la formation restreinte considère que les procédures de coopération et de cohérence n’ont pas été méconnues.

Au demeurant, la formation restreinte relève que sauf dispositions expresses, ce qui n’est pas le cas en l’espèce concernant la détermination de l’autorité chef de file, les autorités de contrôle ne sont pas tenues d’informer les responsables de traitement lors de la mise en œuvre d’actions de coopération ni de les mettre à même de participer aux échanges entre autorités.

2.Sur la procédure

En premier lieu, la société soutient que la recevabilité des plaintes déposées par les associations None Of Your Business et La Quadrature du Net n’est pas établie.

La formation restreinte considère la question de la recevabilité des plaintes précitées n’a en tout état de cause pas d’influence sur la légalité de la présente procédure, la saisine de la formation n’étant pas nécessairement subordonnée à la réception d’une plainte et pouvant résulter d’une auto-saisine de la Commission sur la base des constats opérés par les services de cette dernière. Elle rappelle que la CNIL a pour mission de contrôler l’application du règlement et de veiller au respect de celui-ci et qu’elle dispose, pour ce faire, du pouvoir d’effectuer des enquêtes, conformément à l’article 57 1. a) et h) du RGPD.

Au demeurant, la formation restreinte note que l’article 80 du RGPD prévoit la possibilité pour une personne de mandater une association à but non lucratif, qui a été valablement constitué[e] conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est acti[ve] dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel pour introduire une réclamation en leur nom.

S’agissant de LQDN, la formation restreinte relève qu’il s’agit d’une association française créée le 3 janvier 2013. Il ressort de ses statuts que cette association a notamment pour objet de mener des actions pour assurer la défense des droits et libertés fondamentaux dans l’espace numérique [...] .

S’agissant de NOYB, elle relève qu’il s’agit d’une association à but non lucratif valablement constituée sur le territoire autrichien depuis 12 juin 2017. Il ressort de ses statuts que son objet est notamment de représenter les droits et les intérêts des utilisateurs dans le domaine numérique (notamment les droits des consommateurs, les droits fondamentaux de la vie privée, la protection des données, la liberté d'expression, la liberté d'information et le droit fondamental à un recours effectif).

La formation relève également que ces deux associations ont reçu de la part des personnes les ayant saisies un mandat de représentation au titre de l’article 80 du RGPD.

En second lieu, la société fait valoir que la procédure engagée à son encontre a méconnu son droit à un procès équitable tel que prévu notamment à l’article 6 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales.

Sur ce point, elle soutient d’une part, que le rapport proposant une sanction ainsi que les réponses apportées par le rapporteur à ses observations lui ont été adressées uniquement en français et d’autre part, que le refus d’extension du délai qui lui été opposé pour produire ses premières observations a limité le temps dont elle disposait pour préparer sa défense. Elle estime également que le report de séance ainsi que le délai supplémentaire qui lui a finalement été accordé pour produire ses secondes observations n’étaient toujours pas suffisants.

La formation restreinte relève tout d’abord que la notification d’un rapport de sanction en langue française répond à l’obligation légale fixée à l’article 111-1 du code des relations entre le public et l’administration qui prévoit que L'usage de la langue française est prescrit dans les échanges entre le public et l'administration, conformément aux dispositions de la loi n° 94-665 du 4 aout 1994 relative à l'emploi de la langue française .

En outre, aucune disposition légale ou supra nationale n’impose à la CNIL de traduire les documents qu’elle produit.

Au demeurant, la société dispose d’un établissement sur le territoire français, la société Google France SARL. Cette société compte plusieurs centaines de salariés et s’est vue notifier l’ensemble des documents en lien avec la procédure. Elle relève également que les principales pièces à l’appui de la procédure ( Règles de confidentialité , Conditions d’utilisation , etc.) étaient les propres documents de la société, disponibles par ailleurs en anglais sur d’autres supports.

Au regard de ces éléments, la formation restreinte considère que la société disposait en tout état de cause de ressources matérielles et humaines suffisantes lui permettant d’assurer une traduction des documents en anglais dans un délai suffisant pour en prendre connaissance et formuler ses observations dans le délai qui lui était fixé.

La formation restreinte rappelle ensuite que l’article 75 du décret n° 2005-1309 du 20 octobre 2005 modifié prévoit que le responsable de traitement dispose d’un délai d’un mois pour formuler des observations en réponse au rapport qui lui a été adressé, puis d’un nouveau délai de quinze jours faisant suite au délai imparti au rapporteur pour apporter sa réponse.

La formation restreinte souligne qu’il a été fait droit aux demandes formulées par la société le 11 décembre 2018 visant à obtenir une extension de délai pour produire ses observations en réponse aux éléments apportés par le rapporteur et un report de séance. Ce report lui a permis de bénéficier d’un délai supplémentaire de quinze jours pour produire ses secondes observations par rapport au délai initialement prévu et préparer ainsi sa défense en vue de la séance de la formation restreinte. Elle a par ailleurs été en mesure de présenter ses observations orales le jour de la séance de la formation restreinte en complément de ses productions écrites.

La formation restreinte rappelle enfin que les constatations de fait opérées dans le cadre de la présente procédure portaient essentiellement sur des documents institutionnels rédigés par la société elle-même.

Au regard de ces éléments, la formation restreinte estime que les droits de la défense de la société Google LLC. ont été garantis.

3.Sur le périmètre des investigations

En défense, la société soutient tout d’abord que le rapporteur a confondu le système d’exploitation Android et le compte Google alors qu’il s’agit de services distincts qui mettent en œuvre des activités de traitements différentes.

Elle indique notamment que lors de la configuration de son appareil mobile sous Android, les utilisateurs ont clairement le choix de créer ou non un compte Google et que les Règles de confidentialité leur expliquent la manière dont les services Google peuvent être utilisés avec ou sans compte Google (ex : visionnage de vidéos YouTube sans création de compte etc.).

Elle fait ensuite valoir que le périmètre du contrôle choisi par la CNIL - à savoir la création d’un compte Google lors de la configuration d’un nouvel appareil utilisant le système d’exploitation Android - est limité en ce qu’il représente un cas de figure qui ne concerne que 7% des utilisateurs.

Enfin, elle indique que les constatations ont été effectuées sur une ancienne version du système d’exploitation Android.

Tout d’abord, la formation restreinte indique qu’elle ne remet pas en cause l’existence de services distincts, liés respectivement au système d’exploitation Android et au compte Google, mettant en œuvre des activités de traitements différentes.

Elle observe cependant que les faits couverts par les investigations correspondent au scénario retenu pour effectuer le contrôle en ligne, à savoir le parcours d’un utilisateur et les documents auxquels il pouvait avoir accès lors de la configuration initiale de son équipement mobile utilisant le système d’exploitation Android. Ce parcours incluait la création d’un compte. Ces faits se rapportent donc aux traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte à l’occasion de la configuration de son téléphone mobile sous Android.

Ensuite, s’il est exact que l’utilisateur a effectivement le choix de créer un compte et a la possibilité d’utiliser certains des services de la société sans avoir à créer un compte, elle constate toutefois que lors de la configuration d’un appareil sous Android, la possibilité de créer un compte Google ou de se connecter à un compte déjà existant apparait naturellement au début du processus de paramétrage, sans action spécifique de l’utilisateur.

Celui-ci est par ailleurs invité à créer ou à se connecter à un compte Google dans la mesure où lorsqu’il clique sur les liens en savoir plus ou ignorer disponibles à cette étape de configuration de l’appareil, il se voit présenter l’information suivante : Votre appareil fonctionne mieux avec un compte Google , Si vous n’avez pas de compte Google, vous ne pourrez pas effectuer les actions suivantes […] Activer les fonctionnalités de protection de l’appareil .

La formation restreinte considère ainsi que ce parcours, lors de la création d’un compte, crée un continuum d’usage entre les traitements opérés par le système d’exploitation et ceux opérés au travers du compte Google, et justifie le scénario retenu pour le contrôle en ligne. Cette succession des informations et choix présentés à l’utilisateur ne fait toutefois pas obstacle à une analyse différenciée, au regard du cadre juridique, des différentes activités de traitement en cause sur la base de l’ensemble des faits constatés dans le cadre de ce scénario de contrôle.

En outre, s’agissant des observations formulées par la société selon lesquelles ce cas de figure ne concernerait que 7% des utilisateurs – la plupart des utilisateurs d’un appareil fonctionnant sous Android se connectant à un compte préexistant - la formation restreinte rappelle qu’aux termes de l’article 11.I.2 de la loi informatique et libertés, la CNIL dispose d’un large pouvoir d’appréciation quant aux périmètres des contrôles qu’elle peut entreprendre. Un scénario spécifique de contrôle, tel que celui retenu en l’espèce, peut permettre d’opérer des constatations traduisant une politique de confidentialité plus globale.

Au demeurant, la formation restreinte relève que la société indique dans ses observations en date du 7 décembre 2018 que : la portée du traitement des données à caractère personnel qui est effectué pour les détenteurs d'un Compte Google lorsqu'ils utilisent un appareil sous Android est en grande partie similaire au traitement qui se produit pour les détenteurs d'un Compte Google lorsqu'ils utilisent les services Google sur un ordinateur ou sur un appareil ne fonctionnant pas sous Android et que [..] Présenter les mêmes Règles de confidentialité et Conditions d'Utilisation permet d'assurer une cohérence et une connaissance des utilisateurs et, de manière importante, fait office de rappel aux détenteurs de comptes existants de la nature de la collecte des données et des finalités de celle-ci . Dès lors, les utilisateurs qui configureraient leur mobile sous Android en y associant un compte déjà existant se trouvent, s’agissant de l’information qui leur est communiquée, dans une situation analogue aux utilisateurs qui procéderaient à la création d’un compte.

Enfin, s’agissant de la version du système d’exploitation Android utilisée pour procéder aux constatations, la formation restreinte relève que l’argument avancé par la société est sans incidence dès lors qu’il ressort des pièces fournies par la société que le parcours d’un utilisateur est similaire dans une version plus récente du système d’exploitation.

Au demeurant, la formation restreinte relève que les statistiques de répartition de l’utilisation des versions successives du système d’exploitation Android, mises à disposition sur le site officiel des développeurs Android (https://developer.android.com/about/dashboards/) démontrent que la version utilisée lors du contrôle fait partie des versions les plus utilisées (statistiques portant sur une période d’une semaine d’octobre 2018 à partir des données de connexions des terminaux s’étant connectés au Google Play Store).

4.Sur le manquement aux obligations de transparence et d’information

Le 1. de l’article 12 du Règlement général sur la protection des données dispose : 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens .

Le 1 de l’article 13 de ce même texte prévoit que : Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

le cas échéant, les coordonnées du délégué à la protection des données ;

les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

lorsque le traitement est fondé sur l'article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent ; et

le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ; […] .

Le rapporteur estime que les informations délivrées aux utilisateurs par la société ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension fixés par l’article 12 et que certaines informations rendues obligatoires par l’article 13 ne sont pas fournies aux utilisateurs.

En défense, la société considère que l’information qu’elle diffuse à ses utilisateurs répond aux exigences des articles 12 et 13 du RGPD.

Elle estime tout d’abord que le document intitulé Règles de confidentialité et conditions d’utilisation , accessible lors de la création d’un compte, constitue une information de premier niveau conforme aux lignes directrices du CEPD sur la transparence au sens du Règlement UE 2016/679 (WP260) du 25 mai 2018. Elle précise que ce document offre une bonne vue d’ensemble des traitements mis en œuvre et que la mention de la base juridique de ces traitements n’a pas à figurer dans ce premier niveau d’information. Les informations concernant la durée de conservation des données figurent quant à elles dans la rubrique Exporter et supprimer vos informations au sein des Règles de confidentialité .

La société fait ensuite valoir que l’information des personnes doit, au regard des articles 12 et 13 du Règlement, s’apprécier de façon globale. Elle expose à ce titre que l’information qu’elle délivre s’opère également, en complément des documents intitulés Règles de confidentialité et conditions d’utilisation , Règles de confidentialité et Conditions d’utilisation , par le biais de plusieurs autres modalités. Elle explique que des messages d’informations additionnelles peuvent apparaitre lors de la création d’un compte sous chacun des paramètres de confidentialité. Par ailleurs un message électronique est adressé à l’utilisateur au moment de la création de son compte indiquant notamment que : Vous pouvez à tout moment modifier les paramètres de confidentialité et de sécurité de votre compte Google, créer des rappels pour vous souvenir de vérifier vos paramètres de confidentialité ou procéder à une vérification de vos paramètres de sécurité . Ce message électronique contient des liens cliquables renvoyant à différents outils de paramétrage.

Ces autres outils de contrôle, qui sont mis à la disposition de l’utilisateur postérieurement à la création de son compte à partir de l’interface de gestion de son compte comportent par exemple un outil intitulé check-up confidentialité qui permet aux utilisateurs de choisir les réglages de confidentialité qui leur conviennent, y compris en matière d’annonces personnalisées, d’historique des positions, d’activité sur le Web et d’applications.

La société met aussi en avant un outil Dashboard qui permet aux utilisateurs d’avoir une vision d’ensemble de l’utilisation qu’ils font des services proposés par Google tels que Gmail ou Youtube.

Enfin, la société rappelle que lorsqu’un utilisateur a cliqué sur Créer un compte sans avoir désactivé les paramètres relatifs aux annonces personnalisées, une fenêtre pop-up de confirmation de création de compte s’affiche pour rappeler que le compte est configuré pour inclure des fonctionnalités de personnalisation. La société indique que le parcours utilisateur est ainsi configuré pour ralentir la progression des utilisateurs qui n’auraient pas fait spontanément le choix de paramètres plus protecteurs de la vie privée.

Au préalable, la formation restreinte prend acte des progrès réalisés ces dernières années par la société dans sa politique d’information des utilisateurs, dans le sens de la plus grande transparence et d’une maîtrise renforcée sur leurs données attendues par ceux-ci. Pour les raisons qui suivent toutefois, elle estime que les exigences du RGPD, dont la mise en œuvre doit être appréciée à l’aune de la portée concrète des traitements de données à caractère personnel en cause, ne sont pas respectées.

En premier lieu, la formation restreinte rappelle qu’en application des dispositions de l’article 12 du Règlement, les informations doivent être fournies de façon aisément accessible . Cette exigence d’accessibilité est éclairée par les lignes directrices sur la transparence, dans lesquelles le CEPD a considéré qu’ Un aspect primordial du principe de transparence mis en lumière dans ces dispositions est que la personne concernée devrait être en mesure de déterminer à l’avance ce que la portée et les conséquences du traitement englobent afin de ne pas être prise au dépourvu à un stade ultérieur quant à la façon dont ses données à caractère personnel ont été utilisées. […] Plus particulièrement, en ce qui concerne les traitements de données complexes, techniques ou non prévus, la position du G29 est que les responsables du traitement devraient […] définir séparément et de façon claire les principales conséquences du traitement : autrement dit, quel sera réellement l’effet du traitement spécifique décrit dans une déclaration ou un avis sur la protection de la vie privée pour la personne concernée . La formation restreinte rappelle en outre que l’obligation d’accessibilité posée par l’article 12 repose en partie sur les choix ergonomiques faits par le responsable du traitement.

En l’espèce, la formation restreinte constate que l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement. En effet, les informations qui doivent être communiquées aux personnes en application de l’article 13 sont excessivement éparpillées dans plusieurs documents : Règles de confidentialité et conditions d’utilisation , affiché au cours de la création du compte, puis Conditions d’utilisation et Règles de confidentialité qui sont accessibles dans un deuxième temps au moyen de liens cliquables figurant sur le premier document. Ces différents documents comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. Un tel choix ergonomique entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents. Celui-ci doit ensuite consulter attentivement une grande quantité d’informations avant de pouvoir identifier le ou les paragraphes pertinents. Le travail fourni par l’utilisateur ne s’arrête toutefois pas là puisqu’il devra encore recouper et comparer les informations collectées afin de comprendre quelles données sont collectées en fonction des différents paramétrages qu’il aura pu choisir.

La formation restreinte relève que, compte tenu de cette architecture, certaines informations sont difficilement trouvables.

Par exemple, s’agissant des traitements de personnalisation de la publicité, pour connaitre les informations qui sont collectées auprès de lui pour cette finalité, un utilisateur doit accomplir de nombreuses actions et combiner plusieurs ressources documentaires. Dans un premier temps, il doit prendre connaissance du document général Règles de confidentialité et conditions d’utilisation , puis cliquer sur le bouton Plus d’options et ensuite sur le lien En savoir plus pour que soit affichée la page Personnalisation des annonces . Il aura ainsi accès à une première description du traitement relatif à la personnalisation de la publicité qui s’avère être incomplète. Pour compléter l’information relative aux données traitées dans le cadre de cette finalité, l’utilisateur devra encore consulter dans son intégralité la rubrique proposer des services personnalisés contenue dans le document Règles de confidentialité , lui-même accessible depuis le document général Règles de confidentialité et conditions d’utilisation .

De même, en matière de traitement des données de géolocalisation, la formation restreinte relève qu’un même parcours dénué de tout caractère intuitif est requis de l’utilisateur s’agissant des informations relatives aux données de géolocalisation. Celui-ci devra en effet accomplir les étapes suivantes : Consulter les Règles de confidentialité et conditions d’utilisation , cliquer sur Plus d’options puis sur le lien En savoir plus pour que soit affichée la page Historique des positions et prendre connaissance du texte affiché. Ce texte ne constituant toutefois qu’une courte description du traitement, l’utilisateur devra, pour accéder au reste des informations, retourner au document Règles de confidentialité et consulter la rubrique Informations relatives à votre position géographique . L’information ne sera toujours pas complète puisque cette rubrique contient plusieurs liens cliquables relatifs aux différentes sources utilisées pour le géolocaliser.

Dans les deux cas de figures décrits, cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces et six en ce qui concerne la géolocalisation.

La formation restreinte relève encore que si l’utilisateur souhaite disposer d’information sur les durées de conservation de ses données personnelles, il doit tout d’abord consulter les Règles de confidentialité qui se trouvent dans le document principal, puis se rendre dans la rubrique intitulée Exporter et supprimer vos informations et enfin cliquer sur le lien hypertexte cliquer ici contenu dans un paragraphe général sur les durées de conservations. Ce n’est donc qu’au bout de quatre clics que l’utilisateur accède à cette information. La formation restreinte constate au demeurant que le titre choisi par la société pour Exporter et supprimer vos informations ne permet pas facilement à l’utilisateur de comprendre qu’il s’agit d’une rubrique permettant d’accéder aux informations relatives aux durées de conservation. Dès lors, la formation restreinte estime dans ce cas de figure que la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information.

Il résulte de l’ensemble de ces éléments un défaut global d’accessibilité des informations délivrées par la société dans le cadre des traitements en cause.

En deuxième lieu, la formation restreinte considère que le caractère clair et compréhensible des informations délivrées, exigé par l’article 12 du RGPD, doit s’apprécier en tenant compte de la nature de chaque traitement en cause et de son impact concret sur les personnes concernées.

Au préalable, il est essentiel de souligner que les traitements de données mis en œuvre par le responsable de traitement sont particulièrement massifs et intrusifs.

Les données collectées par Google proviennent de sources extrêmement variées. Ces données sont collectées à la fois à partir de l’utilisation du téléphone, de l’utilisation des services de la société, tels que le service de messagerie Gmail ou la plateforme de vidéos Youtube, mais aussi à partir des données générées par l’activité des utilisateurs lorsqu’ils se rendent sur des sites tiers utilisant les services Google grâce notamment aux cookies Google analytics déposés sur ces sites.

A ce titre, les Règles de confidentialité laissent apparaître qu’au moins vingt services proposés par la société sont susceptibles d’être impliqués dans les traitements, pouvant concerner des données telles que l'historique de navigation web, l'historique d'usage des applications, les données stockées localement sur l'équipement (telles que les carnets d'adresses), la géolocalisation de l'équipement, etc. Dès lors, un grand nombre de données est traité dans le cadre de ces services via ou en lien avec le système d’exploitation Android.

Il ressort de l’instruction du dossier qu’outre les données de sources externes, la société traite au moins trois catégories de données :

des données produites par la personne (par exemple, son nom, son mot de passe, son numéro de téléphone, son adresse courriel, un moyen de paiement, des contenus créés, importés ou reçus, tels que des écrits, des photos ou des vidéos) ;

des données générées par son activité (par exemple, l’adresse IP, des identifiants uniques de l’utilisateur, les données de réseau mobile, les données liées aux réseaux sans fil et aux appareils Bluetooth, l’horodatage des actions effectuées, les données de géolocalisation, les données techniques des appareils utilisés y compris les données relatives aux capteurs (accéléromètre, etc.), les vidéos vues, les recherches effectuées, l’historique de navigation, les achats, les applications utilisées, etc. ;

des données dérivées ou inférées à partir des données fournies par cette personne ou son activité. S’agissant de cette catégorie, les Règles de confidentialité listent un certain nombre de finalités qui ne peuvent être accomplies qu’en générant des données à partir des deux autres catégories de données. Ainsi, la personnalisation des annonces que la société réalise nécessite d’inférer les centres d’intérêt des utilisateurs à partir de leur activité afin de pouvoir proposer ceux-ci aux annonceurs. De la même manière, les finalités de fourniture de contenus, de recherches et de recommandations personnalisés nécessitent d’inférer de nouvelles informations à partir de celles déclarées, produites ou générées par l’activité de la personne.

Par ailleurs, si le très grand nombre de données traitées permet de caractériser à lui seul le caractère massif et intrusif des traitements opérés, la nature même de certaines des données décrites, telles que les données de géolocalisation ou les contenus consultés, renforce ce constat. Considérée isolément, la collecte de chacune de ces données est susceptible de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes, dont leurs habitudes de vie, leurs goûts, leurs contacts, leurs opinions ou encore leurs déplacements. Le résultat de la combinaison entre elles de ces données renforce considérablement le caractère massif et intrusif des traitements dont il est question.

En conséquence, c’est à la lumière des caractéristiques particulières de ces traitements de données à caractère personnel qui viennent d’être rappelées que les caractères clair et compréhensible , au sens de l’article 12 du RGPD, des informations prévues à l’article 13 du Règlement, doivent être appréciés. La formation restreinte considère que ces exigences ne sont, en l’espèce, pas respectées.

Concrètement, la formation restreinte relève que les informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard.

En effet, les finalités annoncées dans les différents documents sont ainsi décrites : proposer des services personnalisés en matière de contenu et d’annonces, assurer la sécurité des produits et services, fournir et développer des services, etc. . Elles sont trop génériques au regard de la portée des traitements mis en œuvre et de leurs conséquences. C’est également le cas lorsqu’il est indiqué aux utilisateurs de manière trop vague : Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. […] Les informations que nous collectons et l'usage que nous en faisons dépendent de la manière dont vous utilisez nos services et dont vous gérez vos paramètres de confidentialité .

La formation restreinte relève, par suite, que la description des finalités poursuivies ne permet pas aux utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée qu’ils sont susceptibles d’emporter. Elle estime, en particulier, qu’une telle information n’est pas apportée de manière claire, ni au premier niveau d’information fourni aux utilisateurs par le biais, en l’espèce, du document intitulé Règles de confidentialité et conditions d’utilisation , ni dans les autres niveaux d’information proposés par la société.

La formation restreinte constate en outre que la description des données collectées, qui pourrait être de nature à éclairer la portée de ces finalités et à éviter que l’utilisateur soit pris ultérieurement au dépourvu quant à la façon dont ses données ont été utilisées et combinées, est particulièrement imprécise et incomplète, tant à l’analyse du premier niveau d’information que de celle des autres documents fournis.

Ainsi, le document Règles de confidentialité et conditions d’utilisation ainsi que le document intitulé Règles de confidentialité précisent : Il peut s’agir d’informations (…) plus complexes, comme les annonces que vous trouvez les plus utiles, les personnes qui vous intéressent le plus sur le Web ou les vidéos YouTube qui sont susceptibles de vous plaire .

Au regard de ce qui précède, la formation restreinte estime que l’utilisateur n’est pas en mesure, en particulier en prenant connaissance du premier niveau d’information qui lui est présenté dans les Règles de confidentialité et conditions d’utilisation , de mesurer la portée des principaux traitements sur sa vie privée. Si elle prend acte de ce qu’une information exhaustive, dès le premier niveau, serait contreproductive et ne respecterait pas l’exigence de transparence, elle estime que celui-ci devrait contenir des termes de nature à objectiver le nombre et la portée des traitements mis en œuvre. Elle considère en outre qu’il serait possible, par d’autres types de modalités de présentation adaptées à des services de combinaison de données, de fournir dès le stade des Règles de confidentialité une vision d’ensemble des caractéristiques de cette combinaison en fonction des finalités poursuivies.

Le constat du défaut de clarté et de caractère compréhensible doit être également fait s’agissant de la mention de la base juridique des traitements de personnalisation de la publicité. En effet, la société indique tout d’abord dans les Règles de Confidentialité : Nous vous demandons l'autorisation de traiter vos informations à des fins spécifiques, et vous êtes libre de revenir sur votre consentement à tout moment. Par exemple, nous vous demandons l'autorisation de vous fournir des services personnalisés, tels que des annonces […] . La base juridique retenue ici apparait donc être le consentement. Toutefois, la société ajoute plus loin se fonder sur l’intérêt légitime, notamment pour mener des actions de marketing en vue de faire connaître nos services auprès des utilisateurs et surtout avoir recours à la publicité afin de rendre un grand nombre de nos services disponibles gratuitement pour les utilisateurs.

La formation restreinte souligne que si devant elle, la société a indiqué que la seule base juridique sur laquelle repose le traitement relatif à la publicité personnalisée est le consentement, il ressort de l’instruction que cette clarification n’est pas portée à la connaissance des utilisateurs. Les formulations rappelées ci-dessus ne permettent pas à ces derniers de mesurer clairement la distinction entre la publicité proprement personnalisée, à partir de la combinaison de multiples données relatives à l’utilisateur, qui repose d’après les dires de la société sur le consentement, d’autres formes de ciblage utilisant par exemple le contexte de navigation, fondées sur l’intérêt légitime. La formation restreinte souligne l’importance particulière de l’exigence de clarté s’agissant de ces traitements, compte tenu de leur place dans les traitements mis en œuvre par la société et de leur impact sur les personnes dans l’économie numérique.

S’agissant de l’information relative aux durées de conservation, la formation restreinte relève que la page Comment les informations collectées par Google sont-elles conservées comporte quatre catégories :

Informations conservées jusqu'à ce que vous les supprimiez ;

Informations assorties d'un délai d'expiration ;

Informations conservées jusqu'à la suppression de votre compte Google ;

Informations conservées pendant de longues périodes pour des raisons précises .

Elle constate néanmoins que s’agissant de la dernière catégorie, seules des explications très générales sur la finalité de cette conservation sont fournies et aucune durée précise ni les critères utilisés pour déterminer cette durée ne sont indiqués. Or cette information figure parmi celles devant être obligatoirement délivrées aux personnes en application du a) du °2 de l’article 13 du Règlement.

En dernier lieu, si la société fait valoir que de multiples outils d’information sont mis à la disposition des utilisateurs concomitamment et après la création de leur compte, la formation restreinte relève que ces modalités ne permettent pas d’atteindre les exigences de transparence et d’information issues des articles 12 et 13 du RGPD.

Tout d’abord, la formation restreinte relève que les outils auxquels la société fait référence contribuent effectivement, dans une certaine mesure, à l’objectif de transparence tout au long de la vie du compte et de l’utilisation des services de Google. Cependant, la formation restreinte considère qu’ils ne participent pas de manière suffisante à l’information prévue par l’article 13, qui doit intervenir au moment où les données en question sont obtenues . Ainsi que l’ont rappelé les lignes directrices du CEPD sur la transparence, l’article 13 indique les informations à fournir aux personnes concernées dès la phase de commencement du cycle de traitement .

Si des données autres que celles strictement nécessaires à la création du compte, sont collectées tout au long de la vie du compte, telles que l’historique de navigation ou des achats, le moment de sa création marque l’entrée de l’utilisateur dans l’écosystème des services Google, dont le caractère particulièrement massif et intrusif des traitements a été rappelé précédemment. Cette étape marque le début d’une multitude d’opérations de traitements : collecte, combinaison, analyse etc. Par conséquent, dans la mesure où le processus de création du compte est primordial dans l’appréhension des traitements et de leur impact et où le parcours utilisateur proposé invite lui-même la personne concernée à concentrer tout particulièrement son attention à ce stade, l’information prévue à l’article 13 du Règlement qui intervient à ce moment doit, par elle-même, être suffisante au regard des exigences résultant de cette disposition ainsi que de l’article 12 du même règlement.

Au demeurant, tant la fenêtre pop-up surgissant au moment de la création du compte que le message électronique envoyé dès la création du compte ne contiennent que des informations sommaires ou très ciblées sur les traitements mis en œuvre et ne sauraient permettre de regarder l’information préalable comme suffisante.

Le texte de la fenêtre pop-up indique en effet Ce compte Google est configuré pour inclure des fonctionnalités de personnalisation (telles que les recommandations et les annonces personnalisées) qui sont basées sur les informations enregistrées dans votre compte . Le message électronique indique quant à lui les principales fonctionnalités du compte Google et l’existence d’outils de contrôle.

S’agissant de l’outil check-up confidentialité celui-ci permet essentiellement à l’utilisateur de paramétrer les informations collectées tels que l’historique de navigation ou des lieux fréquentés. Enfin, le Dashboard consiste en un panneau d’information regroupant pour chaque service Google un aperçu des habitudes d’utilisation du titulaire du compte.

Néanmoins, ces outils check-up confidentialité et Dashboard ne sont mobilisables, tout comme d’ailleurs le message électronique mentionné ci-dessus, que postérieurement à l’étape de création du compte, laquelle est pourtant primordiale pour l’information des utilisateurs ainsi qu’il a été dit. En outre, bien que leur existence et leur intérêt soient portés à la connaissance des utilisateurs, ils supposent une démarche active et d’initiative de ceux-ci. Pour ces raisons, ces outils ne permettent pas de considérer qu’une information suffisante est délivrée pour l’application de l’article 13 du Règlement.

Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’un manquement aux obligations de transparence et d’information telles que prévues par les articles 12 et 13 du Règlement est caractérisé.

5. Sur le manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre

L’article 6 du RGPD dispose que : Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;

le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;

le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant .

Il était reproché à la société de ne pas recueillir valablement le consentement des personnes pour les traitements de personnalisation de la publicité. Il était également considéré que la société ne pouvait se prévaloir d’un intérêt légitime pour ces mêmes traitements.

En défense, la société précise qu’elle se fonde uniquement sur le consentement pour les traitements de personnalisation de la publicité.

L’article 4 (11) du Règlement susvisé précise ce que l’on entend par consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement .

L’article 7 de ce même texte prévoit les conditions qui lui sont applicables :

1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante.

3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée.

En premier lieu, la société affirme que le consentement des utilisateurs est éclairé.

Elle estime que des informations simples et claires sont présentées à l’utilisateur lors de la création d’un compte et lui permettent d’avoir connaissance de la manière dont la société utilise les données à des fins de personnalisation de la publicité. La société fait notamment référence au résumé intitulé Règles de confidentialité et conditions d’utilisation , aux sections dédiées à la personnalisation des annonces contenues dans les Règles de confidentialité ainsi qu’au message d’information additionnelle intitulé Personnalisation de la publicité apparaissant dans les options de paramétrage de création du compte.

En second lieu, la société affirme que le consentement des utilisateurs est spécifique et univoque.

Elle fait notamment valoir que lors du paramétrage du compte, l’utilisateur a la possibilité de faire un choix quant à l’affichage de la personnalisation de la publicité. Elle estime que cette possibilité lui permet d’exprimer son consentement sur l’utilisation de ses données indépendamment des autres choix qu’il peut exprimer s’agissant des autres finalités relatives aux traitements associés au compte Google (ex. historique des recherches YouTube).

Elle considère par ailleurs que les modalités de recueil du consentement à des fins de personnalisation des annonces qu’elle met en place sont conformes aux recommandations de la CNIL du 5 décembre 2013 en matière de cookies. Elle précise notamment que sont disponibles des informations succinctes sur la personnalisation des annonces suivies par un bouton "j'accepte" (les Règles de confidentialité et les Conditions d’utilisation), précédé par un bouton "plus d'options" qui donne aux utilisateurs la possibilité de désactiver plusieurs opérations de traitement, y compris à des fins de personnalisation des annonces.

Elle soutient également que la solution admise dans la mise en demeure publique de la présidente de la CNIL n° MED-2018-023 du 29 novembre 2018 permet à l’utilisateur de consentir à l’ensemble des finalités via un bouton tout accepter .

Enfin, elle estime qu’un consentement explicite pour le traitement de données à des fins de personnalisation de la publicité, au sens du a) du 2 de l’article 9 du RGPD, ne pourrait être exigé dès lors qu’il ne s’agit pas de données sensibles.

En ce qui concerne le caractère éclairé

Au préalable, la formation restreinte précise que ce caractère éclairé doit être examiné à la lumière des développements précédents concernant le défaut de transparence et d’information des utilisateurs lors de la création de leur compte. Elle considère en effet que les manquements précédemment identifiés ont nécessairement une incidence sur l’information délivrée aux utilisateurs pour assurer le caractère éclairé du consentement.

La formation restreinte indique que les lignes directrices du CEPD du 10 avril 2018 sur le consentement au sens du Règlement 2016/679 (WP250) précisent : le responsable du traitement doit s’assurer que le consentement est fourni sur la base d’informations qui permettent aux personnes concernées d’identifier facilement qui est le responsable des données et de comprendre ce à quoi elles consentent. [Il] doit clairement décrire la finalité du traitement des données pour lequel le consentement est sollicité .

Ces lignes directrices précisent également que : Pour que le consentement soit éclairé, il est nécessaire d’informer la personne concernée de certains éléments cruciaux pour opérer un choix. [..] Au moins les informations suivantes sont nécessaires afin d’obtenir un consentement valable :

l’identité du responsable du traitement,

la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité,

les (types de) données collectées et utilisées,

l’existence du droit de retirer son consentement,

des informations concernant l’utilisation des données pour la prise de décision automatisée [..] et

des informations sur les risques éventuels liés à la transmission des données en raison de l’absence de décision d’adéquation et de garanties appropriées […] .

Comme elle a pu le relever au titre du manquement aux obligations de transparence et d’information, la formation restreinte considère que l’information sur les traitements de personnalisation de la publicité est excessivement disséminée dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible. A cet égard, la formation restreinte renvoie aux développements précédents sur les multiples actions qui doivent être faites par un utilisateur qui souhaite prendre connaissance des informations disponibles sur les traitements liés à la personnalisation de la publicité.

En outre, comme cela a également été relevé au titre du manquement aux obligations de transparence, l’information fournie n’est pas suffisamment claire et compréhensible en ce qu’il est difficile pour un utilisateur d’avoir une appréhension globale des traitements dont il peut faire l’objet et de leur portée.

A titre d’illustration, l’information diffusée dans la rubrique Personnalisation des annonces , accessible depuis le document Règles de confidentialité et conditions d’utilisation via le bouton Plus d’options , contient la mention suivante : Google peut vous présenter des annonces en fonction de votre activité au sein de services Google (dans la recherche ou sur YouTube par exemple, ainsi que sur les sites Web et les applications partenaires de Google) . La formation restreinte relève qu’il n’est pas possible de prendre connaissance, par exemple par le biais de liens cliquables, des services, sites et application de Google auxquels la société fait référence. Dès lors, l’utilisateur n’est pas en mesure de comprendre les traitements de personnalisation de la publicité dont ils font l’objet, ainsi que leur portée, alors même que ces traitements impliquent pourtant une pluralité de services (par exemple : Google search, YouTube, Google home, Google maps, Playstore, Google photo, Google play, Google analytics, Google traduction, Play livres) et le traitement de très nombreuses données à caractère personnel. Les utilisateurs ne sont pas en mesure d’avoir une juste perception de la nature et du volume des données qui sont collectées.

Au vu de ces éléments, la formation restreinte considère que le consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas suffisamment éclairé.

S’agissant du caractère spécifique et univoque du consentement

Le considérant 32 du Règlement prévoit que : Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant […]. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité .

Le considérant 43 du RGPD précise que : Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce .

Les lignes directrices du CEPD sur le consentement susvisées précisent que : Afin de se conformer au caractère spécifique du consentement, le responsable du traitement doit garantir : […] (ii) le caractère détaillé des demandes de consentement […] Cela signifie qu’un responsable du traitement qui sollicite le consentement pour diverses finalités spécifiques devrait prévoir un consentement distinct pour chaque finalité afin que les utilisateurs puissent donner un consentement spécifique à des finalités spécifiques .

En l’espèce, la formation restreinte relève que lorsque l’utilisateur crée un compte, il a la possibilité de modifier certains des paramètres associés au compte. Pour accéder à ces paramètres, l’utilisateur doit cliquer sur le bouton plus d’options , présent avant le bouton Créer un compte . La formation restreinte relève par ailleurs que les paramètres de personnalisation du compte, qui contiennent le choix en matière d’affichage des annonces personnalisées, sont pré-cochés par défaut, ce qui traduit, sauf action contraire, l’accord de l’utilisateur au traitement de ses données pour les finalités mentionnées (ex. historique des recherches YouTube, affichage des annonces personnalisées etc.). L’utilisateur a la possibilité de décocher ces paramètres s’il ne souhaite pas que ces traitements soient mis en œuvre.

La formation restreinte observe que, au moment de la création du compte, si l’utilisateur ne clique pas sur le bouton plus d’options afin de paramétrer son compte, il doit cocher les cases j’accepte les conditions d’utilisation de Google et j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité . Par la suite, il doit appuyer sur le bouton Créer un compte . Une fenêtre surgissante apparaît, intitulée Simple confirmation qui contient le texte suivant Ce compte Google est configuré pour inclure des fonctionnalités de personnalisation (telles que les recommandations et les annonces personnalisées ), qui sont basées sur les informations enregistrées dans votre compte. Pour modifier vos paramètres de personnalisation et les informations enregistrées dans votre compte, sélectionnez Plus d’options .

S’il ne clique pas sur Plus d’options , l’utilisateur doit alors sélectionner le bouton Confirmer pour finaliser la création du compte.

Au vu de ce qui précède, la formation restreinte relève que si l’utilisateur a la possibilité de modifier la configuration des paramètres de son compte préalablement à sa création, une action positive de sa part est nécessaire pour accéder aux possibilités de paramétrage du compte. Ainsi, l’utilisateur peut tout à fait créer son compte, et accepter les traitements qui y sont liés, notamment les traitements de personnalisation de la publicité, sans cliquer sur Plus d’options . Par conséquent, le consentement de l’utilisateur n’est, dans ce cas de figure, pas valablement recueilli dans la mesure où il n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement.

La formation restreinte considère en outre que les actions par lesquelles l’utilisateur procède à la création de son compte - en cochant les cases j’accepte les conditions d’utilisation de Google et j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité , puis en sélectionnant Créer un compte - ne sauraient être considérées comme l’expression d’un consentement valable. Le caractère spécifique du consentement n’est pas respecté puisque l’utilisateur, par ces actions, accepte en bloc l’ensemble des traitements de données à caractère personnel mis en œuvre par la société, y compris à ceux de personnalisation de la publicité.

Par ailleurs, la formation restreinte relève que lorsqu’il clique sur Plus d’options pour accéder à la configuration des paramètres de son compte, ceux-ci, et notamment celui relatif à l’affichage des annonces personnalisées, sont tous pré-cochés par défaut. Aussi, la possibilité laissée aux utilisateurs de paramétrer leur compte ne se traduit pas non plus, dans ce cas de figure, par un acte positif ayant pour objet de recueillir le consentement, mais par une action ayant pour objet de permettre l’opposition au traitement.

La formation restreinte relève enfin que cette analyse est corroborée par les lignes directrices du G29 sur le consentement qui précisent que : Un responsable du traitement doit également être conscient que le consentement ne peut être obtenu moyennant la même action que lorsqu’une personne concernée accepte un contrat ou les conditions générales d’un service. [..]Le RGPD n’autorise pas les responsables du traitement à proposer des cases cochées par défaut ou des options de refus nécessitant une action de la personne concernée pour signaler son refus (par exemple des cases de refus ) .

La formation restreinte observe à ce titre que, si certains parcours utilisateurs peuvent inclure une fonctionnalité permettant à l’utilisateur de consentir de manière mutualisée au traitement de ses données pour différentes finalités proches, cette facilité ne peut être considérée comme conforme que si les différentes finalités de traitement lui ont été présentées de manière distincte au préalable et qu’il a été en mesure de donner un consentement spécifique pour chaque finalité, par un acte positif clair, les cases n’étant pas pré-cochées. Pour que ce type de parcours utilisateurs puisse être considéré comme conforme, la possibilité de donner un consentement spécifique pour chaque finalité doit être offerte aux personnes avant la possibilité de tout accepter , ou de tout refuser , et ce sans qu’elles aient à faire d’action particulière pour y accéder, comme cliquer sur plus d’options . Au vu de ce qui précède, la formation retreinte considère que ce type de parcours utilisateurs offre des garanties différentes de celles proposées en l’espèce, ce parcours permettant à l’utilisateur de consentir spécifiquement et distinctement au traitement de ses données pour une finalité déterminée, par un acte positif clair, et cette possibilité lui étant offerte immédiatement et préalablement à la fonctionnalité tout accepter .

Dès lors, en l’espèce, en étant autorisés et masqués par défaut , les traitements de personnalisation de la publicité ne sauraient être considérés comme ayant été acceptés par l’utilisateur par un acte positif spécifique et univoque.

En deuxième lieu, si la société soutient que les modalités de recueil du consentement à des fins de personnalisation des annonces qu’elle met en place sont conformes aux recommandations de la CNIL du 5 décembre 2013 en matière de cookies, la formation restreinte rappelle que les règles spécifiquement applicables en matière de cookies liés aux opérations relatives à la publicité ciblée sont fixées par les dispositions distinctes de l’article 32-II de la loi informatique et libertés, résultant de la transposition de la directive ePrivacy du 12 juillet 2002 (modifiée par la directive 2009/136/CE). L’invocation de la recommandation du 5 décembre 2013 est par suite, et en tout état de cause, inopérante.

En troisième lieu, contrairement à ce que soutient Google, les exigences posées en matière de recueil du consentement ne visent pas à instaurer un régime de consentement qui serait plus protecteur que celui imposé par le RGPD et qui serait, à tort, défini au regard des critères imposés pour le recueil du consentement applicable en matière de traitement des données personnelles dites sensibles .

La formation restreinte relève que les modalités d’expression du consentement ont été précisées et définies par l’article 4 (11) du Règlement, qui indique que l’on entend par consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement .

Ces mêmes modalités d’expression du consentement s’appliquent de la même manière, que le consentement soit recueilli, au titre de l’article 6 du RGPD, pour la mise en œuvre d’un traitement pour une finalité spécifique, ou qu’il soit recueilli, en application de l’article 9 du RGPD, pour lever l’interdiction de principe posée au traitement de données à caractère personnel dites sensibles .

Par conséquent, pour pouvoir être considéré comme valable, le consentement recueilli doit être une manifestation volonté spécifique, éclairée et univoque ce qui, comme la formation restreinte l’a relevé précédemment, n’est pas le cas en l’espèce.

Au vu de l’ensemble de ces éléments, la formation restreinte considère que le consentement sur lequel se fonde la société pour les traitements de personnalisation de la publicité n’est pas valablement recueilli.

III.Sur la sanction et la publicité

L’article 45-III 7° de la loi du 6 janvier 1978 dispose : Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes:[…] : 7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83.

La société considère qu’une amende administrative d’un montant de 50 millions d’euros est disproportionnée.

Elle relève qu’une mise en demeure lui aurait permis d’entreprendre une démarche de mise en conformité et qu’il n’apparait pas que le prononcé direct d’une amende administrative constitue la mesure correctrice la plus adéquate.

Elle considère en outre que les critères fixés à l’article 83 du RGPD n’ont pas tous été pris en compte dans l’évaluation de l’amende proposée. Sur ce point, elle fait notamment référence à l’impossibilité de prendre des mesures correctrices en raison de l’absence de mise en demeure préalable.

La société fait ensuite valoir le faible nombre d’utilisateurs concernés par les manquements et indique que sur […] personnes qui configurent un appareil sous le système d’exploitation Android par jour, seul […] personnes créent un compte.

Tout d’abord, la formation restreinte relève qu’en vertu de l’article 45 susvisé issu de la loi n° 2018-493 du 20 juin 2018, le Président de la CNIL dispose de l’opportunité des poursuites et peut donc choisir, en fonction des circonstances de l’espèce, les suites à apporter à des investigations en clôturant un dossier, en prononçant une mise en demeure ou en saisissant la formation restreinte en vue du prononcé d’une ou plusieurs mesures correctrices, sans qu’il appartienne au demeurant à cette dernière de se prononcer sur l’orientation choisie par le Président. La formation restreinte, ainsi saisie, est alors pleinement compétente pour se prononcer sur la matérialité et la qualification des faits, puis pour apprécier si les manquements qu’elle aurait caractérisés justifient, dans son principe même, le prononcé de l’une des mesures correctrices mentionnées au III de l’article 45 de la loi du 6 janvier 1978 et, enfin, pour se prononcer sur le montant d’une éventuelle amende.

En outre, la formation restreinte rappelle que si une administration, dans le cas où une décision est prise au regard d’un ensemble de critères prévus par un texte, doit tenir compte de l'ensemble de ces critères, elle n’est pas tenue dans la motivation de sa décision de se prononcer sur chacun d’entre eux mais peut se limiter à mentionner ceux qu'elle estime pertinents et les éléments de fait correspondants.

Dans le cas d’espèce, la formation restreinte estime que les faits et manquements précités justifient que soit prononcée une amende administrative à l’encontre de la société pour les motifs suivants.

En premier lieu, la formation restreinte tient à souligner la nature particulière des manquements relevés à la licéité du traitement et aux obligations de transparence et d’information. En effet, l’article 6 du RGPD - qui définit limitativement les cas de licéité d’un traitement - est une disposition centrale de la protection des données personnelles en ce qu’elle ne permet la mise en œuvre d’un traitement que si l’une des six conditions listées est remplie. Les obligations de transparence et d’information sont également essentielles en ce qu’elles conditionnent l’exercice des droits des personnes et leur permettent donc de garder le contrôle sur leurs données. A cet égard, tant l’article 6 que les articles 12 et 13 figurent parmi les dispositions dont la méconnaissance est la plus sévèrement sanctionnée au 5. de l’article 83 du RGPD.

La formation restreinte considère ainsi que les obligations prévues en termes de transparence et de bases juridiques constituent des garanties fondamentales permettant aux personnes de garder la maîtrise de leurs données. La méconnaissance de ces obligations essentielles apparaît dès lors particulièrement grave, du fait de leur seule nature.

En deuxième lieu, la formation restreinte note que les manquements retenus perdurent à ce jour et sont des violations continues du Règlement. Il ne s’agit ni d’une méconnaissance ponctuelle de la société à ses obligations, ni d’une violation habituelle à laquelle le responsable du traitement aurait mis fin spontanément depuis la saisine de la formation restreinte.

En troisième lieu, la gravité des violations est à apprécier au regard notamment de la finalité des traitements, de leur portée et du nombre de personnes concernées.

A cet égard, la formation restreinte relève que si, selon la société, le scénario retenu pour les investigations en ligne menées par la CNIL correspond directement à seulement 7% de ses utilisateurs, le nombre de personnes ainsi concernées est, par lui-même, particulièrement important. Elle rappelle en outre que les utilisateurs qui configureraient leur mobile sous Android en y associant un compte déjà existant se trouvent, s’agissant des documents qui leurs sont communiqués et donc des violations retenues au Règlement, dans une situation analogue à ceux créant pour la première fois un compte, ce que la société n’a pas contesté dans son courrier du 7 décembre 2018.

En outre, la formation restreinte rappelle que la société met en place des traitements de données d’une ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français des systèmes d’exploitation mobiles et de la proportion de recours aux ordiphones par les utilisateurs de téléphones en France. Ainsi, les données de millions d’utilisateurs sont traitées par la société dans ce cadre.

Les traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte - à l’occasion de la configuration de son téléphone mobile sous Android - apparaissent également d’une envergure considérable au regard du nombre de services impliqués - a minima une vingtaine - et de la variété des données traitées via ou en lien avec le système d’exploitation Android. Outre les données fournies par l’utilisateur lui-même lors de la création du compte et de l’utilisation du système d’exploitation, la formation restreinte rappelle qu’une multitude de données issues de son activité est également générée telle que l'historique de navigation web, l'historique d'usage des applications, la géolocalisation de l'équipement, les achats etc. De même, des données sont déduites d’informations fournies par la personne concernée ou son activité, notamment dans le cadre de la personnalisation des annonces. Il s’agit donc d’informations nombreuses et particulièrement éclairantes sur les habitudes de vie des personnes, leurs opinions et interactions sociales. Partant, les données traitées par la société touchent au plus près leur identité et leur intimité.

De plus, la formation restreinte note que des multiples procédés technologiques sont utilisés par la société afin de combiner et analyser des données provenant de différents services, applications ou sources externes. Ils ont indéniablement un effet multiplicateur quant à la connaissance précise que la société a de ses utilisateurs.

En conséquence, la formation restreinte estime que la société dispose d’opérations de combinaisons au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs.

Compte tenu de la portée des traitements de données - notamment celui de personnalisation de la publicité - et du nombre de personnes concernées, la formation restreinte souligne que les manquements précédemment retenus revêtent une particulière gravité. Un défaut de transparence concernant ces traitements d’ampleur, tout comme l’une absence de consentement valide des utilisateurs au traitement de personnalisation de la publicité constituent des atteintes substantielles à la protection de leur vie privée et se situent à contre-courant des aspirations légitimes des personnes souhaitant conserver la maîtrise de leurs données.

A cet égard, le renforcement des droits des personnes est l’un des axes majeurs du Règlement. Le législateur européen rappelle que L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu'aux autorités publiques d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités (…) Les technologies ont transformé à la fois l'économie et les rapports sociaux (considérant 6). Il souligne ainsi que ces évolutions requièrent un cadre de protection des données solide (…) assorti d'une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. (considérant 7). Le législateur européen regrette, enfin, que la directive 95/46/CE n’ait pas permis d’éviter le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l'environnement en ligne. (considérant 9).

La formation restreinte considère, ainsi, au regard de l’ampleur des traitements déployés et de la nécessité impérieuse pour les utilisateurs de garder la maîtrise de leurs données, que ceux-ci doivent être mis en situation d’être suffisamment informés de la portée des traitements mis en œuvre et d’y consentir valablement, sauf à priver de base la confiance dans l’écosystème numérique.

En quatrième lieu, la formation restreinte tient à souligner que les manquements doivent être mis en perspective au regard du modèle économique de la société, en particulier de la place du traitement des données des utilisateurs à des fins publicitaires via le système d’exploitation Android. Compte tenu des avantages qu’elle retire de ces traitements, la société doit apporter une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD dans leur mise en œuvre.

Il résulte de tout ce qui précède et des critères dont il a été dûment tenu compte par la formation restreinte, au vu du montant maximum encouru établi sur la base de 4% du chiffre d’affaires indiqué au point 2 de la présente décision, qu’une sanction pécuniaire est justifiée à hauteur de 50 millions d’euros, ainsi qu’une sanction complémentaire de publicité pour les mêmes motifs.

Il est également tenu compte de la place prépondérante occupée par la société sur le marché des systèmes d’exploitation, de la gravité des manquements et de l’intérêt que représente la présente décision pour l’information du public, dans la détermination de la durée de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

de prononcer à l’encontre de la société Google LLC, une sanction pécuniaire d’un montant de 50 (cinquante) millions d’euros ;

d’adresser cette décision à la société Google France Sarl en vue de l’exécution de cette décision ;

de rendre publique sa délibération, sur le site de la CNIL et sur le site de Légifrance, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.

Le Président

Jean-François CARREZ

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de quatre mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 22 janvier 2019