Sanctionné le 21 janvier 2019 par la CNIL pour des manquements concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android, Google a saisi le Conseil d’État pour demander l’annulation de cette sanction prise sur le fondement du règlement général sur la protection des données (RGPD).
La sanction de 50 millions d'euros est à ce jour la plus grosse amende prononcée par une autorité de protection et de contrôle au sein de l'Union européenne.
Le Conseil d’État rejette le recours et confirme, par une décision du 19 juin 2020, que la société n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires.
Outre le cas d'espèce, voici une synthèse de ce qu'on peut retenir.
Sur la compétence de la CNIL et validité de la procédure
De la compétence territoriale
Le Conseil d'Etat considère que la société "Google Ireland Limited ne pouvait être regardée comme l’administration centrale du responsable des traitements litigieux et que la société Google LLC, qui seule déterminait leurs finalités et moyens, ne disposait pas, à la date de la sanction attaquée, d’établissement principal au sein de l’Union européenne, au sens et pour l’application du RGPD."
Le Conseil d'Etat considère qu'"aucune autorité chef de file ne pouvant dès lors être désignée dans les conditions prévues à l’article 56 du RGPD, la CNIL était compétente pour instruire les plaintes des associations None of Your Business et La Quadrature du Net à raison des traitements des données personnelles des utilisateurs français du système d’exploitation Android opérés par la société Google LLC et infliger à cette dernière la sanction attaquée."
Il est important de noter que le Conseil d'Etat était interrogé sur la régularité de la procédure eu égard au respect des droits de la défense. Il conclut que ceux-ci ont été respecté par la procédure mise en place par la CNIL.
Transparence et consentement
Transparence et clarté:
Information
L'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l’avance la portée et les conséquences du traitement.
Finalités
Si les exigences de concision, d’intelligibilité, de clarté et de simplicité de l’information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l’utilisateur d’en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l’ampleur du traitement doivent lui être aisément accessibles.
Conséquence : le 1er niveau d'information ne doit pas être trop général et délivrer des informations claires.
Consentement
Rappels du Conseil:
Un consentement donné au moyen d’une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur et ne peut dès lors être considéré comme procédant d’un acte positif clair permettant valablement le recueil du consentement.
Un consentement recueilli dans le cadre de l’acceptation globale de conditions générales d’utilisation d’un service ne revêt pas un caractère spécifique au sens du RGPD.
Le consentement n’est valide que s’il est précédé d’une présentation claire et distincte de l’ensemble des finalités poursuivies par le traitement.
コメント