Google : l’amende record de la CNIL va-t-elle changer la donne ?

Sundar Pichai, CEO de Google, lors de son audition devant le Congrès américain, le 11 décembre 2018.

Le 21 janvier dernier, la CNIL, l’autorité française chargée de la protection de la vie privée, a infligé à Google une amende record de 50 millions d’euros en raison de sa politique de gestion des données personnelles en France. Cette condamnation historique peut-elle marquer un tournant dans les relations entre la France et les GAFA ? Les réponses d’Alexandre Lazarègue, avocat spécialiste des données personnelles.

Quels sont les manquements de Google au RGPD ?

Ce qui a été reproché à Google concernait le système d’exploitation des mobiles « Android » que développe le moteur de recherche américain et qui représente 80 % des systèmes d’exploitation des smartphones dans le monde, loin devant les IOS d’Apple.

Les utilisateurs qui mettaient en application ce système d’exploitation dans leurs téléphones portables se voyaient proposer des publicités ciblées en fonction de leur navigation sur Internet, de leurs achats en ligne, de leurs déplacements…

La CNIL a considéré que le consentement des utilisateurs à la collecte par Google des données relatives à leurs comportements n’était pas recueilli dans des conditions de clarté et de lisibilité. Autrement dit le B.A.B.A du RGPD n’était pas respecté.

En outre, le consentement était recueilli par défaut alors même que l’une des innovations du RGPD est de faire du refus de la collecte de données le principe, chacun étant ensuite libre d’accorder son consentement. Si ce principe complexe à mettre en œuvre pour les entreprises implique d’être innovant sur le plan juridique aussi bien que technologique, il est un pilier du RGPD qui doit être respecté.

Enfin, les conditions générales d’utilisation qui doivent indiquer les droits des utilisateurs sur leurs données personnelles manquaient de précision, ce qui conduisait les utilisateurs à y consentir sans véritablement les comprendre. Une méthode de mise en page obligeant chacun à lire et à adhérer au recueil des données dans la transparence est appréciée des utilisateurs mais implique, il est vrai, un changement de mentalités.

Comment cette sanction va-t-elle s’appliquer ? Google peut-il faire appel de cette décision ?

Concrètement, la CNIL ne reçoit pas pour son compte les amendes qu’elle prononce à la différence de certaines de ses « administrations sœurs » en Europe. L’équivalent de la CNIL en Espagne (agencia espanola proteccion datos) par exemple se voit verser les amendes qu’elle prononce, ce qui a pour vertu de motiver ses agents autant que de la rendre puissante et donc d’être crainte.

Google a d’ores et déjà annoncé qu’il fera appel devant le Conseil d’Etat, invoquant ses nombreux partenaires et les conséquences dommageables de cette décision pour ceux-ci. Il est vrai que Google participe au développement économique international et permet de faire prospérer des millions d’entreprise à travers le monde.

La plus haute juridiction administrative aura alors pour tâche de juger à nouveau les agissements reprochés à Google mais aussi de contrôler si la CNIL a eu un raisonnement conforme au droit.

Il est à remarquer que Google a mis en avant la violation par la CNIL du principe du contradictoire prévu par la Convention Européenne des droits de l’homme.

La société américaine reprochait à la CNIL d’avoir mené des investigations à distance, sans l’alerter et de l’avoir poursuivie sans la mettre en demeure de se mettre en conformité, ce qu’elle faisait le plus souvent jusqu’à présent. Cet argument autorisera Google, le cas échant, à effectuer un recours devant le Cour européenne des droits de l’homme. Cette méthode inquisitoire est néanmoins prévue par les textes et, en ce sens, la CNIL n’a pas failli.

Cette décision marque-t-elle le début d’une vague de condamnations de la part des autorités de régulations européennes à l’égard des GAFA ?

Force est de constater que la méthode de la CNIL a changé. Ayant longtemps fait la promotion de la pédagogie, soucieuse de sensibiliser les différents acteurs économiques à l’importance du respect de la vie privée des individus, l’autorité administrative indépendante a décidé de montrer un visage plus coercitif, du moins dans la méthode : en effectuant une enquête à distance, en refusant d’envoyer préalablement une mise en demeure, en rendant la décision publique.

Il faut dire que le RGPD visait tout particulièrement à contraindre les GAFA au respect du droit à la vie privée. Gageons que d’autres condamnations de ce type d’entreprises suivront.

On remarquera toutefois que la somme prononcée, 50 millions d’euros, si elle est un record du point de vue de la jurisprudence, représente peu de choses au regard du chiffre d’affaire mondial de Google (100 milliards d’euros en 2017), et alors que le RGPD autorisait pour les droits violés dans cette affaire à la condamner à hauteur de 4 % du chiffre d’affaires mondial.

Dès lors, cette amende reste une forme d’avertissement. En revanche, le caractère public de la décision de condamnation est la véritable sanction ! Attention donc à la mauvaise publicité que l’annonce d’une telle condamnation peut avoir comme effet sur des consommateurs soucieux désormais de protéger leur vie privée.

Les entreprises doivent comprendre que les droits des personnes relatifs à leurs données personnelles autant que le respect de règles rigoureuses sur la sécurité informatique sont désormais des aspects essentiels de tout projet entrepreneurial viable.