Archives de Tag: CNIL

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Publicités

Poster un commentaire

Classé dans Transport de personnes

« Je ne dois pas vendre mes fichiers clients sans les avoir déclarés »

Vous écrirez dix fois « Je ne dois pas vendre mes fichiers clients sans les avoir préalablement déclarés à la CNIL »

La chambre commerciale de la Cour de cassation a rendu le 25 juin 2013 un arrêt limpide sur l’importance de la protection des données personnelles dans la conduite des activités commerciales[1].

Un acheteur de fichier client avait agi en nullité de la vente d’un fichier client dont il s’est porté acquéreur au motif que ce fichier de clients n’avait pas été préalablement déclaré à la CNIL. La cour d’appel de Rennes avait rejeté cette demande au motif que la loi « Informatique et Libertés » du 6 janvier 1978[2] ne prévoyait pas que l’absence d’une telle déclaration était sanctionnée par la nullité.

La juridiction suprême a prononcé la cassation de l’arrêt de la Cour d’appel de Rennes au motif que les fichiers clients non déclarés doivent être considérés comme des choses « hors du commerce » au sens de l’article 1128 du Code civil et que toute convention portant sur une telle chose doit donc être frappée de nullité.

Le fait que la décision soit publiée, courte et prononcée au visa de l’article 1128 du Code civil peut sans aucun doute laisser penser que la Cour de cassation a voulu édicter là un principe fort et envoyer par là même un message aux acteurs, de plus en plus nombreux, qui se consacrent d’une manière ou d’une autre au traitement de fichiers clients, les collectent et les vendent.

Chers acteurs de la nouvelle économie, vous êtes donc tous concernés car la vente de fichiers clients n’est sans doute pas la seule concernée par la nullité en l’absence de déclaration préalable. Il pourrait s’agir de la location, du prêt ou de l’apport en société de ces fichiers clients. Et plus généralement, il s’agit de tout contrat qui porte sur un fichier client.

Cette décision appelle donc deux commentaires : d’abord elle montre un regain d’intérêt par la jurisprudence pour la notion de « choses hors du commerce » au sens du Code civil et ensuite elle annonce l’entrée du droit et d’un contentieux important sur les conventions portant sur des fichiers clients.

La prudence s’impose donc. Affaire à suivre !

***

Soyez nombreux à réagir, votre participation est notre valeur ajoutée ! Vous pouvez nous soumettre les questions que vous souhaitez voir traitées  sur droitdupartage(at)gmail.com ou réagir dans les commentaires.


[1] Cour de cassation, civile, Chambre commerciale, 25 juin 2013, 12-17.037, Publié au bulletin

[2] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes, Transport de personnes