Le plus haut tribunal administratif français a rejeté l’appel de Google contre une amende de 57 millions de dollars émise par le Data Watchdog l’année dernière pour ne pas avoir suffisamment expliqué aux utilisateurs d’Android comment il traite leurs informations personnelles.

Le Conseil d’État a rendu sa décision aujourd’hui, confirmant la constatation antérieure de la CNIL, surveillance des données, selon laquelle Google n’avait pas fourni d’informations « suffisamment claires » aux utilisateurs d’Android – ce qui signifiait à son tour qu’il n’avait pas obtenu légalement leur consentement à utiliser leurs données pour des publicités ciblées.

« La demande de Google a été rejetée », a confirmé un porte-parole du Conseil d’État à TechCrunch par e-mail.

« Le Conseil d’Etat confirme l’appréciation de la CNIL selon laquelle les informations relatives au ciblage publicitaire ne sont pas présentées de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement collecté », écrit également le tribunal dans un communiqué de presse [traduit par Google Translate ] sur son site Internet.

Elle a estimé que le montant de l’amende était proportionné – étant donné la gravité et nature continue des violations.

Fait important, le tribunal a également confirmé la compétence du chien de garde national français pour réglementer Google – au moins à la date à laquelle cette sanction a été prononcée (janvier 2019).

L’amende de plusieurs millions de dollars de la CNIL contre Google reste la plus importante à ce jour contre un géant de la technologie dans le cadre du règlement général européen sur la protection des données (RGPD) – conférant à l’affaire une certaine valeur symbolique, pour ceux qui se demandent si le règlement fonctionne comme prévu par rapport à la puissance de la plate-forme.

Bien que la taille de l’amende soit toujours relative par rapport aux revenus mondiaux de l’entité mère de Google, Alphabet, les changements que le géant de la technologie pourrait devoir apporter à la manière dont il recueille les données des utilisateurs pourraient avoir beaucoup plus d’impact sur ses résultats nets de ciblage publicitaire.

En vertu du droit européen, pour que le consentement soit une base juridique valable pour le traitement des données personnelles, il doit être informé, spécifique et donné librement. Ou, pour le dire autrement, le consentement ne peut être mis à rude épreuve.

Dans ce cas, les juges français ont conclu que Google n’avait pas a fourni suffisamment d’informations claires pour que le consentement soit obtenu légalement – y compris une objection à une case à cocher pré-cochée qui, selon le tribunal, ne satisfait pas aux exigences du RGPD.

Donc, tl; dr, la décision de la CNIL a été entièrement justifiée.

Appelée à commenter le rejet par la Cour de son appel, une porte-parole de Google nous a envoyé cette déclaration:

Les gens s’attendent à comprendre et à contrôler la façon dont leurs données sont utilisées, et nous avons investi dans des outils de pointe qui les aident à faire les deux. Cette affaire ne portait pas sur la question de savoir si le consentement était nécessaire pour une publicité personnalisée, mais sur la manière exacte de l’obtenir. À la lumière de cette décision, nous allons maintenant examiner les changements que nous devons apporter.

Le RGPD est entré en vigueur en 2018, mettant à jour les règles européennes de protection des données de longue date et ouvrant la possibilité d’amendes surdimensionnées pouvant atteindre 4% du chiffre d’affaires annuel mondial.

Cependant, les actions contre les grandes technologies ont largement stoppé, avec des dizaines de plaintes acheminées via la protection des données en Irlande. Commission – en raison d’un mécanisme de guichet unique dans le règlement – entraînant un important arriéré de cas. Le DPC irlandais n’a pas encore rendu de décision sur toute plainte transfrontalière, bien qu’il ait déclaré que ses premières étaient imminentes – sur les plaintes impliquant Twitter et Facebook.

Le service de surveillance des données de l’Irlande continue également d’enquêter sur un certain nombre de plaintes contre Google, à la suite d’un changement annoncé par Google dans la juridiction légale de l’endroit où il traite les données des utilisateurs européens – les déplaçant vers Google Ireland Limited, basé à Dublin, qui, selon lui, s’applique depuis janvier 22, 2019 – avec des enquêtes en cours par le DPC irlandais sur une plainte de longue date liée à la façon dont Google gère les données de localisation et une autre sonde majeure de son adtech, pour n’en nommer que deux.

À propos du mécanisme de guichet unique du RGPD – et, indirectement, de la problématique plus large du «forum shopping» et de la réglementation européenne sur la protection des données – le Conseil d’État français écrit: «Google pensait que l’autorité irlandaise de protection des données était seul compétent pour contrôler ses activités dans l’Union européenne, le contrôle du traitement des données étant du ressort de l’autorité du pays où se situe le principal établissement du responsable du traitement, selon un principe de «guichet unique» institué par le GDPR. Le Conseil d’État note cependant qu’à la date de la sanction, la filiale irlandaise de Google n’avait aucun pouvoir de contrôle sur les autres filiales européennes ni aucun pouvoir de décision sur le traitement des données, la société Google LLC située aux États-Unis avec ce pouvoir seul.  »

Dans sa propre déclaration en réponse à la décision de la Cour, la CNIL note que la Cour estime que le mécanisme de guichet unique du RGPD n’était pas applicable en l’espèce – écrivant: «Elle l’a fait en appliquant le nouveau cadre européen tel qu’interprété par toutes les autorités européennes dans les lignes directrices du Comité européen de la protection des données.  »

ONG de protection des renseignements personnels noyb – l’un des groupes de campagne pour la protection de la vie privée qui a déposé plainte contre Google, en mai 2018 – a salué la décision du tribunal sur tous les fronts, y compris le point de compétence.

Dans un communiqué, le président d’honneur de noyb, Max Schrems, a déclaré: « Il est très important que des entreprises comme Google ne puissent pas simplement se déclarer » irlandaises « pour échapper à la surveillance des régulateurs de la confidentialité. »

Une question clé est de savoir si la CNIL – ou une autre APD (non irlandaise) de l’UE – sera jugée compétente pour sanctionner Google à l’avenir, après son changement de nom de sa filiale Google Ireland en tant que processeur de données régional. (D’autres géants de la technologie utilisent le même livre de jeu ou un livre similaire, recherchant les régulateurs les plus «favorables aux entreprises» de l’UE.)

Sur la décision plus large, Schrems a également déclaré: «Cette décision nécessite des améliorations substantielles de Google. Leur politique de confidentialité doit désormais vraiment clarifier ce qu’ils font avec les données des utilisateurs. Les utilisateurs doivent également avoir la possibilité d’accepter uniquement certaines parties de ce que Google fait avec leurs données et de refuser autres choses. »

Le groupe français des droits numériques, La Quadrature du Net – qui avait déposé une plainte connexe contre Google, alimentant l’enquête de la CNIL – a également déclaré aujourd’hui sa victoire, notant qu’il s’agit de la première sanction dans un certain nombre de plaintes RGPD qu’il a déposées contre des géants de la technologie au nom de 12000 personnes. citoyens.