Dans une décision du 21 janvier 2019, la CNIL a condamné la société GOOGLE LLC au paiement d’une amende de 50 millions d’euros en raison d’un traitement de données personnelles non transparent et obtenu sans consentement valide des utilisateurs.
Saisie par deux plaintes collectives d’associations, la CNIL a reproché au géant américain un manque de transparence et de base légale pour le traitement des données personnelles qu’il opérait via son système d’exploitation pour mobile (Android).
En effet, des informations essentielles comme les finalités ou la durée de conservation des données traitées n’étaient accessibles à l’utilisateur qu’après plusieurs étapes d’activation de boutons et liens nécessitant parfois cinq à six actions successives.
Si le montant élevé de la sanction infligée à Google est la conséquence de l’ampleur des traitements qu’elle réalise, toutes les entreprises qui ne répondent pas à cette exigence de clarté pourront se voir condamnées.
Quels sont les comportements à adopter pour éviter une sanction ?
Un traitement transparent
Les personnes concernées par un traitement de leurs données personnelles doivent être en mesure de connaître à l’avance la portée et les conséquences du traitement (quels types de données sont utilisés ? pourquoi ? pour quelle durée? etc.).
Tous les éléments relatifs à cette information préalable doivent être facilement accessibles.
La CNIL a considéré qu’une multiplication des actions nécessaires pour être pleinement informé sur les conséquences du traitement ainsi que des titres non explicites ne permettaient pas un traitement transparent des données.
Par ailleurs, la base légale du traitement (exécution d’un contrat ou intérêt légitime ou consentement) doit être claire et compréhensible pour l’utilisateur mais aussi propre à chaque finalité qu’elle vient justifier.
La détermination de la base légale de chaque traitement est ainsi fondamentale pour l’entreprise : ceci étant fait, elle peut ensuite en tirer les conséquences pratiques pour son activité de traitement de données, et notamment, la durée du traitement, les outils à mettre en place pour le recueil et le suivi du consentement des personnes concernées, les éléments justifiant l’intérêt légitime du responsable de traitement, ou encore les outils et process pour répondre aux demandes d’opposition si le traitement est basé sur l’intérêt légitime.
Un consentement valide
Pour que les données personnelles d’une personne fassent l’objet d’un traitement sur la base de son consentement, celle-ci doit y consentir par un acte positif clair (déclaration, acceptation expresse…).
Un consentement valide ne sera pas reconnu en présence de mentions d’acceptation pré-cochées par défaut ou d’option de refus.
L’acte positif doit donc bien concerner une acceptation et non pas un refus.
Le consentement doit par ailleurs être spécifique pour chaque finalité du traitement.
Pour conclure, il est significatif que l’amende la plus élevée en Europe depuis l’entrée en vigueur du RGPD soit celle qui a été prononcée par la CNIL contre Google LLC.
Les manquements aux principes de base des traitements entraînent les sanctions les plus élevées, dites de niveau II. Leurs seuils sont fixés à 20 millions d’euros ou 4% du CA annuel mondial, le montant le plus élevé étant retenu.
Si cette sanction a valeur d’exemple et doit être mise en perspective au regard de l’activité spécifique de Google, un message à destination de toutes les entreprises, quelle que soit leur taille, peut en être tiré : les violations des principes de bases des traitements sont sévèrement sanctionnées.
C’est pourquoi, la mise en conformité doit aujourd’hui être un objectif incontournable à court ou moyen terme pour toutes les entreprises (ETI, PME, TPE…), et la transparence du traitement, ainsi que la qualité du consentement recueilli, le cas échéant, doivent figurer parmi les priorités.