Le roi américain de la data est, pour la première fois, condamné sur la base du nouveau règlement européen. Le début d'une longue série ? Entretien.

Par Laurence Neuer le 23/01/2019 à 11:33 | Le Point.fr

Cinquante millions d'euros tout rond, c'est l'amende record infligée à Google par la Cnil le 21 janvier 2019, la première prononcée sous l'ère du nouveau règlement européen (RGPD) fixant le plafond des sanctions pécuniaires à 4 % du chiffre d'affaires mondial de l'entreprise. Le gardien de la vie privée reproche au géant américain son manque de transparence sur les informations délivrées aux utilisateurs, elles-mêmes insuffisantes, et l'absence de consentement valable des personnes sur le traitement des données recueillies à des fins de publicité ciblée. « Ces manquements perdurent à ce jour et sont des violations continues du règlement. Il ne s'agit pas d'un manquement ponctuel, délimité dans le temps », justifie l'autorité administrative dans un communiqué. Celle-ci avait été saisie de deux plaintes collectives des associations None of Your Business (« NOYB ») et La Quadrature du Net (« LQDN »).

Plus précisément, la Cnil a estimé que les personnes manquaient d'informations claires sur les finalités pour lesquelles leurs données sont collectées. Ainsi, pour la géolocalisation, il faut six clics pour comprendre les traitements et les conséquences qui peuvent être mises en œuvre pour l'utilisateur, précise la Cnil dans sa décision. À cela s'ajoutent l'absence d'information sur la durée de conservation des informations et le fait que le consentement recueilli n'est pas « libre, spécifique, informé et univoque », comme l'exige le RGPD. La Cnil relève que l'information est disséminée, amenant l'utilisateur à consentir en bloc, par une seule action, à la personnalisation de la publicité, à la reconnaissance vocale, etc. alors qu'il aurait dû donner un consentement « spécifique », c'est-à-dire de manière distincte pour chaque finalité. Enfin, relève la Cnil, les cases sur la personnalisation du consentement sont cochées par défaut, alors qu'elles devraient être décochées par défaut.

Google a quatre mois pour faire appel devant le Conseil d'État. Mais, d'ici là, d'autres acteurs, comme Facebook, LinkedIn ou Amazon, visés par d'autres plaintes instruites par les autorités irlandaise et luxembourgeoise de protection des données (l'équivalent de la Cnil), seront peut-être fixés sur leur sort…

Pour Étienne Drouard, avocat associé du cabinet K&L Gates, expert en données personnelles, la grille d'analyse de l'autorité administrative s'applique potentiellement à de nombreux acteurs du Web.

INTERVIEW :

Le Point : La Cnil pointe deux manquements essentiels : l'absence de transparence sur l'information délivrée aux utilisateurs et l'absence de consentement sur les traitements mis en place. Cela vous surprend-il ?

Étienne Drouard : Le manquement aux obligations de transparence et d'information est un point essentiel en effet. Pour la Cnil, la politique de traitement des données rédigée par Google comporte trop d'arborescence et de liens hypertextes. La Cnil estime que cette information, somme toute pléthorique, est éclatée et ne met pas en mesure les personnes de prendre la dimension des traitements de données qui les concernent à travers la vingtaine de services différents proposés. Même un spécialiste doit passer des heures à lire et à recouper l'information.

Pourtant, Google a fait des efforts pour rendre plus accessibles ses conditions d'utilisation et règles de confidentialité…

Google a regroupé, dans l'équivalent de 40 pages; ce qui, avant, faisait 230 pages parmi l'ensemble des services du groupe Alphabet-Google. Maintenant, la Cnil explique à Google que ce n'est pas assez simple et lui reproche de regrouper tous ses services au sein de la même politique sur l'usage des données personnelles. C'est une injonction paradoxale. Or, faire simple avec une technologie compliquée et des services imbriqués… est très compliqué ! On voit bien ce que la Cnil reproche à Google, mais on ne sait encore pas ce qui, d'après le régulateur, serait à la fois simple et complet pour être conforme au RGPD.

Le montant de 50 millions d'euros apparaît néanmoins modique au regard du chiffre d'affaires de Google...

Ce montant a moins d'importance que les conséquences de la décision de la Cnil sur le modèle économique de Google. La Cnil rappelle que Google aurait pu choisir une autre base légale que le consentement pour justifier ses activités de profilage publicitaire. C'est en cela que cette sanction exemplaire va servir de guide d'interprétation du RGPD pour toutes les entreprises. Je m'explique. Google a choisi de justifier ses activités de profilage publicitaire par le « consentement des personnes ». C'est l'une des trois bases légales pertinentes sur lesquelles Google pouvait tenter de justifier ses activités. Les deux autres bases légales disponibles dans le RGPD sont « la nécessité contractuelle » ou « l'équilibre entre l'intérêt légitime de l'entreprise et la protection des droits et libertés des personnes ». Et, comme Twitter, Facebook, Apple et Amazon, Google a axé toute sa stratégie de collecte des données sur un certain consentement des personnes. Mais le consentement à un contrat d'adhésion « tout-en-un » comme celui de Google, ce n'est pas le consentement libre, spécifique et discrétionnaire exigé par le RGPD et qui, d'après la Cnil, doit pouvoir s'exprimer finalité par finalité et service par service. Je consens (ou non) à l'usage publicitaire de mes données de navigation (moteurs de recherche), je consens (ou non) à la lecture de mes emails (Gmail), je consens (ou non) à la reconnaissance faciale au sein de l'application Google Photos, je consens (ou non) à la géolocalisation (Google Maps), etc.

Ce même raisonnement peut-il être appliqué aux réseaux sociaux et sites de e-commerce ?

Oui, et d'une manière générale à tous ceux qui ont cru pouvoir se reposer sur les lauriers d'un pseudo-consentement qui s'avère, finalement, très difficile à recueillir d'une manière spécifique, libre et distincte du service souscrit, mais que la Cnil estimerait valide. En résumé, on ne peut plus faire cocher des cases à des gens qui n'y comprennent rien et prétendre se fonder sur un consentement conforme au RGPD.

Lorsque Twitter a modifié ses conditions d'inscription en mars 2018 (avant le RGPD), il a posé des questions avant la création du compte. Les gens ont fait des choix indépendamment du fait qu'ils créaient un compte, à la différence de Facebook et de Google pour qui l'ouverture de compte impliquait un usage publicitaire des données issues de l'utilisation du service. In fine, les modèles économiques reposant sur la monétisation des données sont voués à l'échec dès lors qu'ils se fondent sur la base légale du « consentement ». Le RGPD leur ouvre d'autres bases légales, notamment celle consistant à démontrer un équilibre entre l'intérêt légitime de l'entreprise et la protection des droits des personnes... Encore faut-il que les régulateurs ne ferment pas cette porte non plus. Sinon, on ne protégera ni les données personnelles ni l'économie européenne.

Google a quatre mois pour faire appel. Quelle pourrait être l'issue de la procédure ?

Google peut saisir le Conseil d'État d'une procédure au fond ou avec le préalable de la question préjudicielle devant la CJUE. Que dira la CJUE ? La clarté de l'information des personnes est une appréciation factuelle. Sur ce volet, on peut douter qu'elle contredise la décision de la Cnil. Sur la base légale et la validité du consentement, je vois mal la CJUE discréditer les autorités de protection des données… On peut dire que les 50 millions d'euros sont perdus pour Google, mais on n'a pas plus gagné en sécurité juridique. Comment bien appliquer le RGPD tout en étant européen et compétitif ? Cet enjeu-là vaut bien plus de 50 millions d'euros…