Le Règlement Général relatif à la Protection des Données (ou RGPD) est entré en vigueur le 25 mai 2018. Depuis lors, de nouvelles règles régissent la protection de nos données personnelles.

Le texte a pour vocation d’harmoniser les législations européennes, d’assurer à l’utilisateur des outils technologiques une meilleure protection et d’accroître les devoirs des personnes collectant les données personnelles.

Un centre hospitalier portugais condamné à 400.000 euros d’amende

Les autorités de contrôle étatiques ont à cœur de faire cesser les pratiques répandues et excessives de collecte des données. C’est la raison pour laquelle, à la suite de l’entrée en vigueur du texte, l’autorité de contrôle portugaise a diligenté une procédure à l’encontre d’un centre hospitalier en juin 2018.

Elle reprochait à l’hôpital de conférer à des tiers un accès trop large aux dossiers des patients. En effet, le personnel administratif de l’hôpital et des médecins extérieurs pouvaient consulter les dossiers médicaux des patients.

Par conséquent, l’autorité de contrôle portugaise a condamné ce centre hospitalier à 400 000 euros d’amende en raison d’une violation des principes d’intégrité et de confidentialité en octobre 2018.

Cette première condamnation sonna comme un déclic en Europe. Depuis celle-ci, les autorités de contrôle n’hésitent plus à condamner les responsables des traitements, notamment les géants du numérique.

Google condamné suite à une plainte de deux associations

La Commission Nationale de l’Informatique et des Libertés française (la CNIL) a été saisie par une plainte de deux associations, La Quadrature du Net et None of your business, représentant à elles-deux près de 10 000 plaignants.

Elles dénoncent les conditions dans lesquelles les règles de confidentialité et les conditions générales d’utilisation sont acceptées par les utilisateurs. Aussi, ils dénoncent l’utilisation de cases pré-cochées.

Il est intéressant de noter que la CNIL a accepté la recevabilité de la plainte de ces deux associations. Cette idée n’allait pas de soi. En effet, l’article 43 ter de la loi Informatique et Libertés prévoit que seules les associations déclarées depuis cinq ans peuvent introduire une plainte ou un recours collectif. Or, l’association None Of Your Business a été créée en 2017.

Néanmoins, la CNIL a estimé que cette limitation n’existait pas au sein du RGPD. Par conséquent, elle a interpellé le gouvernement sur cette restriction qui n’existe pas dans le règlement européen.

A la suite d’une enquête minutieuse, la CNIL a condamné la société Google à une amende de 50 millions d’euros. Elle justifie cette amende sur plusieurs violations du RGPD.

Manquement à l’obligation d’accessibilité

L’article 12 du RGPD prévoit que les informations transmises par le responsable du traitement doivent être communiquées de manière claire, précise et accessible en des termes clairs et simples.

La CNIL a fait remarquer que les informations présentes au titre du RGPD sont éparpillées au sein des conditions générales d’utilisation et des règles de confidentialité de Google. Dans le cadre de la personnalisation de la publicité, elle a livré un exemple flagrant de la volonté de Google de disperser les informations relatives à la collecte des données. « Prendre connaissance du document général Règles de confidentialité et conditions d’utilisation, puis cliquer sur le bouton Plus d’options et ensuite sur le lien En savoir plus pour que soit affichée la page Personnalisation des annonces. Il aura ainsi accès à une première description du traitement relatif à la personnalisation de la publicité qui s’avère être incomplète. Pour compléter l’information relative aux données traitées dans le cadre de cette finalité, l’utilisateur devra encore consulter dans son intégralité la rubrique Proposer des services personnalisés contenue dans le document Règles de confidentialité, lui-même accessible depuis le document général Règles de confidentialité et conditions d’utilisation ».

Cette procédure complexe, visant à décourager l’utilisateur, montre bien que les informations étaient très difficilement accessibles.
En outre, lorsque l’utilisateur a enfin accès aux informations, ces dernières sont dispersées au sein d’une masse importante d’informations.

La CNIL remarque que « compte tenu de cette architecture, certaines informations sont difficilement trouvables » (paragraphe 98 de la délibération de la CNIL).

En effet, il ne faut pas moins de cinq opérations pour que l’utilisateur puisse connaître ses informations. La CNIL remarque également que les informations relatives à la géolocalisation sont difficilement trouvables. Autrement dit, elle considère que les clauses présentes dans les conditions générales d’utilisation sont illisibles et introuvables. D’où sa considération : l’obligation d’accessibilité fait défaut.

Manquement aux obligations de transparence et d’information

La CNIL a remarqué que la société collecte un nombre important et varié de données. En effet, elle collecte des données produites par la personne (nom, prénom, numéro de téléphone…), des données générées par l’activité de la personne (site internet visité, réseau…), et des données dérivées (personnalisation du fait de l’activité de l’utilisateur).

Les informations collectées et leur nature sont intrusives et massives. A titre d’exemple, la collecte dans le cadre de la géolocalisation est particulièrement intrusive puisque la société Google peut savoir, à n’importe quel moment, la situation géographique de la personne.

En outre, l’autorité de contrôle a considéré que ses informations étaient imprécises puisqu’il n’existe aucune distinction entre les informations produites par la personne et les données générées par son activité. Par conséquent, les exigences de clarté et de compréhension font défaut.

Un consentement non valablement recueilli

L’article 6 du RGPD prévoit que, pour que le traitement soit licite, il faut un consentement éclairé et non-équivoque de la personne concernée. La CNIL a constaté que les informations étaient disséminées dans plusieurs documents.

L’utilisateur doit ainsi effectuer plusieurs actions afin de pouvoir y parvenir. En effet, plusieurs pages internet doivent être ouvertes afin que l’information de la personne soit complète. Les outils fournis par Google ne suffisent pas à avoir une information claire et éclairée.

L’exigence posée par la CNIL est que la personne doit comprendre rapidement qui collecte les données personnelles, pourquoi ses données sont traitées, et quelles sont les données qui sont collectées.

Par conséquent, elle a considéré que le consentement de la personne concernée n’était pas suffisamment éclairé puisque les informations sont difficilement trouvables et qu’elles sont présentes au sein d’un document massif. Par cette décision, la CNIL a condamné l’utilisation des cases pré-cochées. En effet, elle considère que ces dernières ne sauraient être considérées comme l’expression d’un consentement valable.

En outre, l’acceptation des clauses « en bloc » de l’ensemble des traitements des données personnelles contrevient au caractère spécifique du consentement.

Par conséquent, la CNIL a considéré que le consentement n’était pas valable. Sur la base de multiples manquements, la CNIL a condamné la société Google à une amende de 50 millions d’euros.

Quelles suites ?

Cette décision de la CNIL tombe mal pour Google. En effet, depuis plusieurs mois, le ministre de l’économie et des finances français, Bruno Le Maire, se bat pour l’instauration d’une nouvelle taxe GAFA touchant les géants du numérique.

Après un échec de la mise en place d’une réglementation européenne sur le sujet, la loi française a été votée, en première lecture, par l’assemblée nationale le 8 avril 2019.

Elle prévoit une taxe s’élevant à hauteur de 3 % du chiffre d’affaires de Google sur les revenus générés par l’activité de internautes français.

Outre le volet fiscal l’impactant, Google a déjà saisi le Conseil d’État pour contester la délibération de la CNIL. Pour l’heure, aucune décision du Conseil d’État n’a été rendue.

Néanmoins, ce qui est certain, c’est que cette décision sera cruciale pour les condamnations à venir, délimitant ainsi les contours du droit à la protection des données personnelles mis en place par le RGPD il y a un an.

Me Pascal PEUVREL, Avocat à la Cour : [email protected] 
Luiggi Farruggio, Elève avocat