Archives de Tag: Google

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Publicités

Poster un commentaire

Classé dans Transport de personnes

Amende record infligée à Google : comprendre la décision de la Commission européenne

Nous parlons beaucoup de l’Union Européenne car c’est un échelon indispensable pour comprendre le numérique et l’environnement règlementaire en construction. Un des organes clés est la Commission européenne puisqu’elle a le monopole de l’initiative législative (elle est seule à pouvoir proposer des règlements ou des directives) et met en œuvre les politiques de l’Union (c’est le pouvoir exécutif de l’Union).

S’agissant de la politique de la concurrence, elle jouit d’un statut particulier car elle dispose, en plus de son pouvoir politique, d’un pouvoir de sanction à l’égard des entreprises qui ne respecteraient pas le droit de l’Union en matière de concurrence.

Dans un communiqué de presse en date du 18 juillet 2018 (la version non-confidentielle de la décision sera publiée dans plusieurs mois), la Commission a annoncé avoir condamné Google pour abus de position dominante en violation de l’article 102 du Traité sur le Fonctionnement de l’Union Européenne (TFUE). Le droit de la concurrence n’interdit pas aux entreprises d’être en situation de position dominante. Cependant, elles ne peuvent en abuser.

Quel était l’abus dans l’affaire Google ?23

Les pratiques reprochées

En substance, la Commission reproche à Google d’avoir utilisé Android, son système d’exploitation pour smartphones, « comme un véhicule pour consolider la position de son moteur de recherche ». Comment ? Par trois séries de pratiques :

  • Les « ventes liées »: Google a imposé aux constructeurs de smartphone utilisant Android (comme par exemple Samsung, Huawei ou HTC) de préinstaller Google comme moteur de recherche par défaut sur les téléphones, ainsi que d’autres applications de l’écosystème Google, comme le navigateur Chrome ou YouTube.
  • Les « incitations financières »: Google a accordé des incitations financières aux constructeurs et à certains opérateurs télécoms pour qu’ils préinstallent, en exclusivité, le moteur de recherche Google sur leurs téléphones.
  • Le frein au développement des « forks »: les « forks » sont des systèmes d’exploitation développés par des tiers sur la base du code source d’Android, que Google rend public. Amazon, notamment, a développé son propre « fork » appelé, « Fire OS ». En contrepartie du droit d’installer Google sur leurs téléphones, les constructeurs devaient s’engager à ne vendre aucun téléphone fonctionnant sous « fork ».

Ce sont ces trois pratiques, prises ensemble, qui constituent l’abus et qui ont conduit à des effets anticoncurrentiels.

Les effets anti-concurrentiels de ces pratiques

On imagine assez aisément l’intérêt de Google derrière ces pratiques : plus le nombre de consommateurs utilisant le moteur de recherche et les applications Google est élevé plus les espaces publicitaires que Google peut vendre sont nombreux.

Selon la Commission, cette stratégie a eu pour effet de priver les concurrents de Google de la possibilité d’innover et de livrer à Google une « concurrence par les mérites ». Ainsi, les autres moteurs de recherche ont été privés de l’accès au système d’exploitation pour smartphones le plus répandu du marché (près de 80% des smartphones dans le monde sont équipés d’Android) et aucun système d’exploitation concurrent n’a pu voir le jour (la Commission n’a pas considéré qu’iOS, le système d’exploitation d’Apple, était un concurrent d’Android).

Il faut noter que les utilisateurs d’Android n’ont jamais été privés de la possibilité de télécharger des moteurs de recherche ou applications concurrents aux produits Google préinstallés. Cependant, la Commission a relevé que sur les appareils Android, plus de 95% de l’ensemble des recherches étaient effectuées via l’application Google Search préinstallée, ce qui donnait un avantage décisif à Google.

Un montant record

Les pratiques et effets anti-concurrentiels ayant été démontrés, comment expliquer le montant record de l’amende ? Selon les règles européennes, l’amende tient compte de (i) la gravité et de (ii) la durée de l’infraction[1]. Les règles de fixation du montant de l’amende sont explicitées plus précisément dans des « lignes directrices [2]», publiées en 2006 par la Commission.

La Commission détermine d’abord la « valeur des ventes en relation directe avec l’infraction » sur la base de laquelle elle fixe un « montant de base » (qui correspond à une proportion de la valeur des ventes, déterminée en fonction de la gravité de l’infraction et dépassant rarement 30% de la valeur des ventes). Le montant de base ainsi obtenu est ensuite multiplié par le nombre d’années d’infraction, puis ajusté en fonction des circonstances aggravantes et atténuantes de l’affaire. En toutes hypothèses, le montant de l’amende ne peut jamais dépasser 10% du chiffre d’affaires mondial de l’entreprise (en l’espèce, l’amende représente environ 3,9% du chiffre d’affaires réalisé en 2017 par Google).

La fixation des amendes en droit de la concurrence fait toujours l’objet d’intenses débats, et il ne fait pas de doute que le montant fixé par la Commission sera âprement contesté par Google, qui a déjà annoncé vouloir faire appel de la décision.

C’est la deuxième fois en deux ans que Google est condamné pour violation des règles européennes sur la concurrence. La Commission avait déjà condamné Google pour abus de position dominante, par le biais cette fois de son moteur de recherche Google Shopping. L’amende prononcée à l’époque était de 2,42 milliards d’euros.

Si ces montants paraissent élevés, ils sont à relativiser : Google génère 4,3 milliards d’euros de chiffre d’affaires en… moins d’un mois, et dispose de plus de 88 milliards de dollars de réserve en trésorerie[3]. Une troisième affaire est en cours. Elle concerne cette fois AdSense, la régie publicitaire de Google.

Droit du Partage vous tiendra naturellement informés des prochaines grandes étapes de ces affaires.

__________________________

[1] Règlement (CE) n° 1/2003 du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles 101 et 102 du traité, article 23 3.

[2] Lignes directrices pour le calcul des amendes infligées en application de l’article 23, paragraphe 2, sous a), du règlement (CE) n o 1/2003 – il s’agit d’un texte en principe non contraignant, mais duquel la Commission s’écarte très rarement.

[3] « Une sanction record aux effets pourtant limités sur Google », 19 juillet 2018, Les Echos

Poster un commentaire

Classé dans Evolution du cadre juridique, Union Européenne