Archives de Tag: Commission Nationale Informatique et Libertés

Pas de droit à l’oubli mondial : l’arrêt Google du Conseil d’État du 27 mars 2020 le confirme !

En janvier 2019[1] (voir notre article sur le sujet), la société Google était condamnée à la plus grosse amende jamais prononcée par la CNIL (50 millions d’euros). Dans cette nouvelle affaire, elle échappera à toute sanction ! Pour mieux la comprendre, il faut remonter quelques années en arrière.

Le 10 mars 2016[2], par une délibération de la formation restreinte de la CNIL, la société Google Inc., exploitant le moteur de recherche Google, a été sanctionnée à hauteur de 100.000 euros, après une mise en demeure[3] demeurée infructueuse, de procéder au déréférencement du nom et prénom de plusieurs personnes physiques sur l’ensemble de ses extensions. Rappelons que le déréférencement est la technique qui permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête (pour faciliter cette démarche, Google Inc. met à disposition un formulaire spécifique en ligne).

Plus précisément, il était reproché à la société Google Inc. d’avoir violé le droit pour une personne de s’opposer à ce que ses données personnelles fassent l’objet d’un traitement en vertu des articles 38 et 40 de la loi informatique et libertés (dans leur ancienne rédaction[4]). En effet, Google Inc. refusait de déréférencer les liens renvoyant au contenu litigieux sur l’ensemble des extensions de son moteur de recherche et n’acceptait de le faire que pour celles des pays européens. Autrement dit, en reprenant le nom et prénom des personnes concernées, quiconque pouvait avoir accès aux pages web litigieuses à partir d’une extension non-européenne du moteur de recherche.

Au soutien de sa position, Google Inc. insistait notamment sur le fait que (i) la CNIL excédait ses pouvoirs en voulant imposer une mesure ayant une portée extraterritoriale et (ii) qu’un déréférencement mondial contrevenait de manière disproportionnée à la liberté d’expression de l’auteur du contenu et à la liberté d’information des internautes (puisqu’en supprimant les liens renvoyant vers le contenu litigieux, ce dernier ne serait plus accessible ni visible depuis Google, le plus gros moteur de recherche au monde).

Google Inc. a introduit un recours auprès du Conseil d’État dans le but obtenir l’annulation de la sanction dont elle faisait l’objet. Par un arrêt du 19 juillet 2017[5], le Conseil d’État a transmis à la Cour de Justice de l’Union Européenne (CJUE) trois questions préjudicielles à des fins de clarification de l’interprétation du droit européen. Le 24 septembre 2019[6], la CJUE a rendu un arrêt favorable à l’interprétation de Google Inc. L’affaire étant en état d’être jugée, le Conseil d’État a rendu son arrêt le 27 mars 2020 et a précisé la portée territoriale du droit au déréférencement.

1/ Principe : l’absence d’un droit au déréférencement mondial

Dans un premier temps, le Conseil d’État rappelle la portée géographique du droit au déréférencement, précisée par la CJUE dans son arrêt du 24 septembre 2019. À cet égard, la Cour disposait que « lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des Etats membres » (§73). La Cour ajoutait que cette mesure de déréférencement pouvait être accompagnée de mesures permettant d’empêcher ou de décourager les internautes effectuant une recherche, d’avoir accès aux liens litigieux. 

Or, le Conseil d’État expose que la formation restreinte de la CNIL a sanctionné la société Google Inc. au motif qu’elle refusait de faire droit à une demande de déréférencement sur l’ensemble des noms de domaine de son moteur de recherche et se bornait à supprimer les liens en cause des seuls résultats affichés sur ses extensions européennes. Qui plus est, la CNIL estimait insuffisant le mécanisme de géo-blocage proposé par Google Inc. en complément de son déréférencement à l’échelle de l’Union européenne.

Ainsi, transposant le raisonnement de la CJUE, le Conseil d’État ne fait pas droit à l’interprétation de la CNIL. Il juge, en effet, qu’en sanctionnant la société Google Inc. au motif que seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche pourrait répondre à l’exigence de protection des données personnelles telle que consacrée par la CJUE, « la formation restreinte de la CNIL a entaché la délibération en cause, d’erreur de droit[7] » (§7).

2/ Exception : un droit au déréférencement mondial à l’issue d’une mise en balance des intérêts minutieuse

Si le principe tient à l’absence d’un droit au déréférencement mondial, le Conseil d’État y apporte, toutefois, quelques nuances :

  • Reprenant les arguments invoqués en défense par la CNIL, le Conseil d’État rappelle que la CJUE précisait dans l’arrêt précité[8] que «si (…) le droit de l’Union n’impose pas, en l’état actuel, que le déréférencement auquel il serait fait droit porte sur l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus » (§72). Elle ajoute, néanmoins, que si les autorités de contrôle ou judiciaires d’un Etat membre demeurent compétentes pour enjoindre un déréférencement mondial, c’est à la condition qu’ « une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information » (§72), ait été réalisée au préalable. En d’autres termes, cette mise en balance implique de mesurer de manière casuistique l’ampleur de l’atteinte aux droits susmentionnés dans l’hypothèse où le déréférencement mondial serait prononcé et, à l’inverse, dans le cas où il ne le serait pas. À l’issue de cette analyse, il en résultera généralement que le droit le touché par la décision l’emportera sur l’autre.
  • Par ailleurs, le Conseil d’État rappelle que lorsqu’il est saisi d’une requête dirigée contre une sanction prononcée par la CNIL et que celle-ci aurait pu être prise sur un autre fondement que celui retenu par l’autorité de sanction, le juge administratif peut substituer la base légale de la décision attaquée « sous réserve que la personne sanctionnée [ici la société Google Inc.] ait disposé des garanties dont est assortie l’application du texte sur le fondement duquel la décision aurait dû être prononcée »[9] afin que celle-ci ne soit plus entachée d’erreur de droit.

Appliqué à l’espèce, le Conseil d’État rejette la demande de la CNIL tenant à la substitution du fondement initialement choisi pour sanctionner la société Google Inc. par le raisonnement de la CJUE reconnaissant aux autorités de contrôle nationales le pouvoir d’ordonner un déréférencement sur l’ensemble des versions du moteur de recherche.  Pourquoi ? Parce que le Conseil d’État observe qu’en l’état actuel du droit, le législateur français n’a pas adopté de dispositions législatives permettant d’ordonner un déréférencement hors de l’Union européenne. Il estime, ainsi, qu’un fondement jurisprudentiel n’est pas valable pour réaliser cette substitution.  En outre, quand bien même ce fondement le serait, le Conseil d’État souligne que la faculté d’exiger un déréférencement mondial ne peut être ouverte qu’au terme d’une balance des intérêts, chose que la formation restreinte de la CNIL n’a pas effectué.

Eu égard à ce qui précède, le Conseil d’État juge qu’un déférencement mondial ne peut être ordonné par la CNIL et que, par voie de conséquence, la société Google Inc. est fondée à demander l’annulation de la délibération attaquée.

3/ Le résultat incertain d’une future mise en balance des intérêts

Si le raisonnement entrepris par le Conseil d’État semble tout à fait cohérent au regard du droit européen et eu égard à l’absence de mise en balance des intérêts, on peut, toutefois, regretter qu’il ne se soit pas prononcé sur les mesures de géo-blocages mises en œuvre par Google Inc. à l’issue de sa mise en demeure. En effet, ces dernières semblaient permettre de bloquer l’accès aux liens litigieux pour les adresses IP réputées localisées dans l’Etat de résidence du bénéficiaire du droit au déréférencement à la suite d’une recherche effectuée à partir de son nom et ce, indépendamment de la déclinaison du moteur de recherche utilisée par l’internaute. Dès lors, il aurait été intéressant de voir si, à l’issue de la mise en balance des intérêts, ces mesures de géo-blocages auraient été considérées comme suffisantes pour faire droit aux arguments de Google Inc. et pour refuser de prononcer le déréférencement mondial.

En tout état de cause, il reste désormais à savoir comment cette mise en balance sera mise en œuvre par les différentes autorités nationales de protection des données personnelles. De son côté, dans sa délibération de 2016[10], la CNIL avait d’ores et déjà relevé que ces mesures n’étaient pas satisfaisantes en ce sens que l’information déréférencée demeurait consultable par tout internaute situé en dehors du territoire concerné par la mesure de filtrage et, d’autre part, qu’un contournement de cette mesure par les utilisateurs concernés restait possible (par exemple, en utilisant un VPN).

Droit du Partage continuera naturellement de suivre ces sujets pour vous.

_________________________________

[1] Délibération n°SAN-2019-001 du 21 janvier 2019 Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC.

[2] Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l’encontre de la société X.

[3] Décision n° 2015-047 du 21 mai 2015 mettant en demeure la société X.

[4] Aujourd’hui, « le droit à l’effacement » ou aussi dit « droit à l’oubli » est consigné à l’article 17 du Règlement sur la protection des données à caractère personnel (RGPD) et 40 de la loi informatique et libertés.

[5] CE, Section du contentieux, 10ème et 9ème chambres réunies ,19 juillet 2017, Google Inc., décision N°399922.

[6] CJUE (grande chambre), 24 septembre 2019, Google LLC contre Commission nationale de l’informatique et des libertés (CNIL), affaire C-507/17.

[7] L’erreur de droit peut résulter d’un détournement de procédure ou d’un défaut de base légale (par exemple, lorsque, comme en l’espèce, l’administration n’a pas fondé sa décision sur la bonne norme).

[8] CJUE (grande chambre), 24 septembre 2019, Google LLC contre Commission nationale de l’informatique et des libertés (CNIL), affaire C-507/17.

[9] Cette substitution se fait soit à la demande des parties soit de la propre initiative du juge (et dans cette seconde hypothèse, uniquement si les parties ont eu la possibilité de présenter des observations sur ce point).

[10] Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l’encontre de la société X.

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Transport de personnes