GAFA VS RGPD – ROUND 1

La Commission Nationale de l’Informatique et des Libertés (CNIL)  a rendu le 21 janvier 2019 une délibération, en formation restreinte, sanctionnant la société Google LLC d’une amende de 50 millions € pour divers manquements au Règlement général sur la protection des données (RGPD), entré en vigueur en France le 25 mai 2018. 

C’est à la suite de plaintes déposées par deux associations formées respectivement sur le territoire français et autrichien, que la CNIL a procédé à une investigation permettant de rendre compte de l’éventuelle violation du RGPD par la société Google. 

Ainsi, la CNIL a relevé, d’une part, le manquement aux obligations de transparence et d’information, et d’autre part, le manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre. 

En premier lieu, la formation restreinte constate le manquement aux obligations de transparence et d’information consacrées aux articles 12 et 13 du RGPD. En effet, à la lumière des dispositions de l’article 12 du RGPD,  la CNIL énonce que « les informations doivent être fournies de façon aisément accessible ». 

Puis, elle s’intéresse à l’article 13 du RGPD et fait le constat selon lequel « les informations qui doivent être communiquées aux personnes sont excessivement éparpillées dans plusieurs documents : Règles de confidentialité et conditions d’utilisation , affiché au cours de la création du compte, puis Conditions d’utilisation et Règles de confidentialité qui sont accessibles dans un deuxième temps au moyen de liens cliquables figurant sur le premier document. ».

La CNIL a construit son investigation autour de deux situations distinctes soit dans le cadre d’une personnalisation des annonces ou bien soit dans le cadre de la géolocalisation et en a conclu que « cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces et six en ce qui concerne la géolocalisation ».

Enfin, elle dénonce également le « caractère massif et intrusif des traitements opérés »  ne permettant pas à l’utilisateur de véritablement comprendre l’utilisation de ses données. 

Concernant le deuxième manquement caractérisé, la CNIL s’interroge si le consentement de l’utilisateur est bien éclairé, spécifique et univoque.  

Tout d’abord, la CNIL considère qu’au vu de ce qui a été dénoncé en ce qui concerne le premier manquement, le consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas suffisamment éclairé.

Puis, pour la qualification du caractère spécifique et univoque, la formation restreinte se rapporte aux considérations n°32 et n°34 du RGPD.Elle procède à plusieurs cas de figures qui aboutissent au même résultat à savoir que « le consentement ne peut être valablement recueilli dans la mesure où il n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement ».

Ainsi, au regard de ces manquements, la formation restreinte de la CNIL a prononcé une amende de 50 millions € à l’encontre de la société Google. 

En parallèle, das Bundeskartellamt–  l’Office fédéral allemand de lutte contre les cartels a rendu, le 7 février 2019, une décision dénonçant l’utilisation des données personnelles des utilisateurs de Facebook mais également, ceux des applications WhatsApp et d’Instagram qui ont été rachetées par la société. 

A cet égard, l’autorité impose à Facebook de limiter la collecte de ses données. En revanche, il ne sera plus possible pour WhatsApp et Instagram de combiner leurs données avec le compte Facebook principal d’un utilisateur, sauf si ce dernier donne son consentement expresse. Par ailleurs, la société dispose de quatre mois pour procéder à la modification de ses paramètres et de transmettre celle-ci au Bundeskartellamt.

L’affaire est à suivre puisque les deux géants du numérique Google et Facebook ont l’intention, respectivement, de faire appel de ces récentes décisions. 

Délibération de la formation restreinte de la CNIL n°SAN-2019-001 du 21 janvier 2019 

Das Bundeskartellamt– décision du 7 février 2019

Par Pauline Michailides, stagiaire