Google souhaitait faire annuler la délibération ayant engendré une amende de 50 millions de dollars en France. La plus haute juridiction administrative du pays a rejeté le recours du géant américain, qui devra donc bien passer à la caisse.
Le 21 janvier 2019, la CNIL avait infligé une amende de 50 millions d'euros à l'encontre de Google (un montant record pour la Commission nationale de l'informatique et des libertés) pour avoir manqué à plusieurs articles du Règlement général sur la protection des données (RGPD). La firme de Mountain View, qui avait fait appel de cette sanction, a vu son recours être rejeté par la section du contentieux du Conseil d'État, ce vendredi 19 juin.
Google n'offre pas une information suffisamment claire et transparente aux utilisateurs d'Android
Dans sa décision tant attendue, le Conseil d'État indique que Google n'a finalement pas délivré une information « suffisamment claire et transparente » aux utilisateurs du système d'exploitation mobile Android, qui n'ont jamais pu livrer leur consentement libre et éclairé au traitement de leurs données personnelles nécessaires à la personnalisation des annonces publicitaires, comme le prévoit expressément le RGPD.
Dans le détail, le Conseil d'État estime que les traitements des données personnelles sont intrusifs par leur nombre et la nature des données collectées, et que l'information disponible sur Android sur la collecte et le traitement des données est « lacunaire », notamment en ce qui concerne la durée de conservation de celles-ci par Google.
On rappelle que le RGPD impose que l'utilisateur bénéficie d'un consentement libre, spécifique et éclairé concernant ses données personnelles. Le Conseil d'État nous fait comprendre que le consentement requis lors de la création d'un compte Google pour l'utilisation du système Android est biaisé. Car le processus invite d'abord l'utilisateur « à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité ». Google noie ainsi le destinataire des services dans de multiples informations, et l'information complémentaire sur le ciblage publicitaire n'arrive qu'en cliquant sur un lien, « Plus d'options », sans oublier le consentement recueilli à l'aide d'une case pré-cochée, « ce qui ne répond pas aux exigences du RGPD », confirme encore la juridiction administrative.
Le Conseil d'État confirme le montant de la sanction et la compétence de la CNIL
Concernant le montant de l'amende infligée, soit 50 millions d'euros, Google a évoqué dans son argumentaire « une sanction pécuniaire disproportionnée », dénonçant « une erreur de droit » et l'insuffisance de motivation de la décision de la CNIL. Le Conseil a jugé que la sanction prononcée par le gendarme des données « n'est pas disproportionnée ».
Le siège européen de Google étant en Irlande, le géant américain demandait à ce que la CNIL soit déclarée incompétente, au contraire de l'autorité de protection des données irlandaise, « seule compétente pour contrôler ses activités dans l'Union européenne », indiquait la plainte. Cette demande a aussi été rejetée par le Conseil d'État, qui relève « qu'à la date de la sanction, la filiale irlandaise de Google ne disposait d'aucun pouvoir de contrôle sur les autres filiales européennes ni d'aucun pouvoir décisionnel sur les traitements de données », seule la maison-mère de Google, basée aux États-Unis, détenant ce pouvoir.
La CNIL était ainsi bien compétente pour juger et sanctionner les manquements de Google relatifs au traitement des données personnelles des utilisateurs d'Android issus du marché français.