RGPD : regard critique sur la décision de la CNIL concernant l'amende de Google

Actu Gestion des risques et sécurité publiée le 14/03 2019

Séparateur déco
Dans sa délibération n° SAN – 2019-001 du 21 janvier 2019, la CNIL a reproché à Google un manque de transparence et d’accessibilité de l’information fournie aux utilisateurs des services Google (tels que la messagerie Gmail, le moteur de recherche Google Search, YouTube etc.).

S’agissant des traitements de publicité ciblée, la CNIL a considéré que le consentement des utilisateurs n’était pas recueilli conformément aux dispositions du Règlement Général pour la Protection des Données (« RGPD »).

Ainsi, il est reproché à Google de ne pas avoir procédé à une information spécifique et univoque pour chacun des nombreux services proposés par Google aussi diverses que Google search, Youtube, Google home, Google maps, Playstore, Google photo.

Pour l’ensemble de ces manquements, la CNIL a prononcé, sans mise en demeure préalable, une sanction de 50 millions d’euros.
 
Google ayant fait appel de la décision, l’éclairage du Conseil d’Etat sera nécessaire sur plusieurs sujets juridiques intéressants et en particulier sur l’appréciation de la notion d’établissement principal au fondement de la compétence de la CNIL dans cette affaire (1) et d’autre part sur le choix, la nature et la motivation de la décision de sanction prononcée par la CNIL contre Google (2).  
 

1. La compétence de la CNIL devra être tranchée par le Conseil d’Etat  

La délibération de la CNIL est la première illustration du mécanisme du guichet unique mis en place par le RGPD. Ainsi, dans le cadre de transferts transfrontaliers, aux termes de l’article 56 du RGPD, il est donné compétence à l’autorité de contrôle de l'établissement principal du responsable du traitement.
 
Dans sa décision du 21 janvier 2019, la CNIL a considéré qu’elle était compétente pour prononcer une sanction contre la société Google LLC au motif que cette dernière ne disposait pas d’un établissement principal en Irlande et qu’en conséquence toutes les autorités de contrôle de l’Union Européenne pouvaient être compétentes.  

Pour justifier sa décision, la CNIL reprend la définition donnée par l’article 4 (16) du RGPD qui définit la notion d’établissement principal comme «  le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal ».

A la lumière du considérant 36 du RGPD ; qui rappelle que la notion d’établissement principal s’apprécie au moyen de « critères objectifs » qui nécessitent « l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement » la CNIL décide qu’en l’absence d’établissement stable de la société Google en Irlande, elle est compétente pour agir au sens de l’article 56 du RGPD. Par cette délibération, la CNIL consacre, pour la première fois, les critères posés par les lignes directrices du G29 concernant la désignation d’une autorité contrôle chef de file d’un responsable ou d’un sous-traitant du 5 avril 2017.  

Concrètement, la CNIL considère que la seule présence d’un siège social dans l’Union Européenne ne suffit pas à caractériser la notion d’établissement stable et qu’en l’espèce la société Google Ireland Limited ne disposait pas, à la date de l’engagement des poursuites « d’un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ».

La CNIL constate également que la politique de confidentialité de Google ne mentionnait pas Google Ireland Limited comme l’entité où sont prises les décisions principales sur les traitements concernés ; qu’aucun DPO n’a été désigné au sein de cette entité et qu’enfin les transferts de responsabilité étaient en cours, et donc non effectifs[1].

Dans sa décision du 21 janvier, la CNIL décide que les activités financières et comptables, tout comme la vente d’espaces publicitaires ou la passation de contrats sont gérées par la société Google LLC et que la société Google Ireland Limited est seulement impliquée dans ces décisions, sans qu’il ne soit pour autant démontré que cette dernière dispose d’un pouvoir décisionnel effectif.

Sans surprise la société Google LLC a contesté la compétence de la CNIL au profit de l’autorité de protection de la vie privée Irlandaise la Data Protection Commission (« DPC »), en estimant que son siège en Irlande doit être considéré comme son établissement principal au sein de l’Union Européenne notamment pour les traitements objet de la plainte reçues par la CNIL et qui fondent la condamnation.

A ce titre, la société Google rappelle que la société Google Ireland Limited « est le siège social de Google pour ses opérations européennes depuis 2003 et qu’elle est l’entité en charge de plusieurs fonctions organisationnelles nécessaires à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.). » La société Google précise également que son siège en Irlande est en charge de « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne » et que « cette société emploie plus de 3 600 salariés » et enfin qu’elle dispose d’une équipe dédiée « en charge de la gestion des demandes faites au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée ».

En droit fiscal, ces éléments auraient vraisemblablement suffi à caractériser un établissement stable, redevable de l’impôt dans l’état concerné, mais la CNIL en a décidé autrement et a justifié sa décision par le fait que Google n’avait pas désigné d’autorité de contrôle au sein de l’Union Européenne, dans l’état membre ou se situe sont établissement principal.

En outre, interrogée par la CNIL, dans le cadre du mécanisme de coopération, la DPC, n’a pas estimé devoir se saisir du dossier.
  Ainsi, en considérant que Google n’avait pas d’établissement principal en Irlande au sens du RGPD, il n’y avait pas de raison de saisir le CEPD et la CNIL a pu décider de s’attribuer la compétence pour sanctionner Google.  Le Conseil d’Etat devra confirmer ou infirmer la compétence de la CNIL dans cette affaire et devra ainsi revenir sur la définition d’établissement principal. Il n’est pas exclu que la CJUE soit saisie. 
 

2. Analyse de la sanction sous un angle processuel    

Indépendamment du montant de la sanction prononcée contre Google, il convient de s’interroger sur le choix et la nature de la sanction prononcée par la CNIL.

Malgré le nécessaire principe de l’opportunité des poursuites, la CNIL, en principe, procède à une mise en demeure préalablement à une sanction. Dans ce cas, elle fixe alors un délai pour donner l’opportunité à l’entreprise de se mettre en conformité. La sanction n’intervient normalement que dans l’hypothèse où l’organisme contrôlé n’a pas pris les mesures nécessaires dans le délai fixé par la CNIL.

Lorsque l’organisme contrôlé a appliqué les mesures nécessaires pour se mettre en conformité, aucune sanction n’est prononcée et la CNIL prend une décision de clôture du dossier.

Dans cette affaire, la CNIL, après avoir procédé à un contrôle en ligne a directement sanctionné Google – sans qu’il soit prononcé une mise en demeure ou un avertissement.

La société Google relève d’ailleurs « qu’une mise en demeure lui aurait permis d’entreprendre une démarche de mise en conformité et qu’il n’apparait pas que le prononcé direct d’une amende administrative constitue la mesure correctrice la plus adéquate ».

Ce choix d’une amende administrative, sans préavis, est seulement justifié par la CNIL par la gravité des manquements reprochés à Google. Le principe reste toutefois contestable et non conforme à la pratique habituelle de la CNIL, à tout le moins avec les acteurs français.  

De la même manière, une remarque sur la nature de la décision s’impose.

En effet, indépendamment de l’amende administrative, il convient de relever que la CNIL n’a pas fait injonction à la société Google de se mettre en conformité aux dispositions violées du RGPD, au moyen notamment d’une astreinte journalière. Il est seulement précisé dans le dispositif de la décision qu’elle doit être adressée à Google France pour exécution.
Or, le principe non bis in idem exclu qu’une même sanction soit prononcée pour les mêmes manquements. Comment dès lors qualifier la portée de cette décision, indépendamment du paiement de l’amende, la société Google a-t-elle l’obligation de se mettre en conformité ?  

Par ailleurs, il parait justifié de revenir sur la question de la motivation du calcul de la sanction.

En droit français les jugements doivent être motivés (article 455 du Code de procédure civile ; article 9 du code de justice administrative).

La Cour de Cassation [2] rappelle que « le domaine de la motivation est général. L’obligation s’applique indistinctement et, sauf exception, à toutes les décisions de justice ».

Ce principe est donc sans conteste applicable aux autorités administratives indépendantes. Or, dans la délibération du 21 janvier 2019, pour justifier le montant de la sanction, la CNIL se contente d’estimer que « au vu du montant maximum encouru établi sur la base de 4% du chiffre d’affaires indiqué au point 2 de la présente décision, qu’une sanction pécuniaire est justifiée à hauteur de 50 millions d’euros, ainsi qu’une sanction complémentaire de publicité pour les mêmes motifs ».

Rien dans la décision de la CNIL ne permet de comprendre les raisons qui justifient le montant de ladite sanction qui aurait pu s’élever à 4 % de 100 milliards d’euros soit 4 milliards d’euros. La sanction représente seulement 0,05 % du chiffre d’affaires annuel global de la société Google LLC.

Doit-on considérer que ce montant ne concerne que les activités de Google destinées aux utilisateurs de mobiles Android ? Comment apprécier ce montant par rapport au chiffre de 7 % des utilisateurs concernés ?

Aucune explication n’est donnée par la CNIL sur le calcul du montant de l’amende fixée. La CNIL se contente de considérer que « au regard de l’ampleur des traitements déployés et de la nécessité impérieuse pour les utilisateurs de garder la maîtrise de leurs données, que ceux-ci doivent être mis en situation d’être suffisamment informés de la portée des traitements mis en œuvre et d’y consentir valablement, sauf à priver de base la confiance dans l’écosystème numérique » et que « Compte tenu des avantages qu’elle retire de ces traitements, la société doit apporter une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD dans leur mise en œuvre ».

Enfin, la CNIL tient « compte de la place prépondérante occupée par la société sur le marché des systèmes d’exploitation, de la gravité des manquements et de l’intérêt que représente la présente décision pour l’information du public ».

Aucun élément ne permet donc de comprendre le montant record mais dérisoire eu égard au plafond ouvert à la CNIL.

Enfin, force est de remarquer que la CNIL a précisé dans sa décision du 21 janvier 2019 que la société Google LLC disposait d’un délai de 4 mois pour faire appel de ladite décision devant le Conseil d’Etat.

Or, sur le fondement de l’article R421-1 du code de justice administrative un recours peut être formé contre une décision de la CNIL « dans les deux mois à partir de la notification ou de la publication de la décision attaquée ». Rien dans la décision de la CNIL du 21 janvier 2019 ne précise la raison de l’augmentation du délai d’appel. Ce point est néanmoins purgé puisque la société Google LLC a fait appel de la décision dans les deux jours de la publication de la décision.  
 
 
  En conclusion, il convient que la délibération de la CNIL suscite de nombreuses questions juridiques qu’il appartiendra au Conseil d’Etat de clarifier, dans l’intérêt de tous les acteurs concernés. En pratique pour les responsables de traitement qui mettent en œuvre des traitements transfrontaliers, il est recommandé de désigner l’autorité chef de file, dans l’état de leur établissement principal, pour réduire toute possibilité de débat sur la compétence des autorités de contrôle.


Cet article n'engage que son auteur.
 
 
[1] Google avait indiqué que le transfert de responsabilité de Google LLC vers Google Ireland Limited était en cours et qu’il serait finalisé le 31 janvier 2019, et que les règles de confidentialité entreraient en vigueur le 22 janvier 2019.  
[2] Cour de Cassation, Rapport 2010, L’INFORMATION IMPOSÉE PAR LE DROIT DE SAVOIR : LE DROIT D’OBTENIR D’AUTRUI UNE INFORMATION >L’OBLIGATION DE SE JUSTIFIER OU D’EXPLIQUER >L’obligation de motivation publiée en ligne https://www.courdecassation.fr/publications_26/rapport_annuel_36/rapport_2010_3866/etude_droit_3872/e_droit_3873/obligation_se_justifier_expliquer_3875/obligation_motivation_19404.html
 
https://www.eurojuris.fr/medias/shared/proctection-des-donnees-----alf-photo-5c8a66d06b070.jpg