fbpx
Accéder au contenu principal

Protection des données personnelles : La France se rebelle face à la toute-puissance des GAFAM

Le Conseil d’Etat confirme l’amende de 50 millions infligée par la CNIL à Google et enclenche ainsi une nouvelle avancée dans la protection des données personnelles.

Mimly est un tout nouveau media. N’hésitez pas à nous soutenir
en partageant nos articles et
en nous rejoignant sur notre page Facebook.

Parcourez nos autres dossiers et découvrez également notre
service de Veille en Marketing Digital et Social Media, gratuitement.

En 2016, le Parlement Européen adopte le règlement européen relatif au traitement des données à caractère personnel et à la libre circulation de ces données (*). Ce règlement va « renforcer les droits des citoyens européens et leur donner plus de contrôle sur leurs données personnelles »(*). Selon le droit de l’Union Européenne, lorsqu’un règlement européen est adopté, celui-ci est « obligatoire dans tous ses éléments et est directement applicable dans tout État membre »(*). En France ce règlement a entraîné la « réécriture de la loi française « Informatique et libertés »»(*) datant du 6 janvier 1978 et qui a institué la Commission Nationale de l’Informatique et des Libertés, connu sous le nom de CNIL. Depuis le règlement européen, la CNIL, « une autorité administrative indépendante, est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés »(*) et « à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »(*). La CNIL a un « rôle d’alerte, de conseil et d’information mais également d’un pouvoir de sanction »(*).

Ce pouvoir de sanction s’observe dans une décision en date du 21 janvier 2019, où celle-ci à la suite de « deux plaintes collectives déposés par deux associations » en matière de défense des droits des consommateurs(*) sanctionne le système d’exploitation Android d’un montant de 50 millions d’euros pour « des manquements concernant le traitement des données personnelles » (*). La CNIL constate deux manquements. Le premier manquement consiste en une dissémination d’informations sur le traitement des données personnelles ce qui ne permet pas aux utilisateurs du système d’exploitation d’avoir des informations claires et précises sur le sujet. Le deuxième manquement repose sur la notion du consentement de l’utilisateur. Au regard de ces manquements, la CNIL décide de sanctionner la société Google d’un montant de 50 millions d’euros. Si ce montant est actuellement le plus important jamais imposé par l’autorité, il n’en reste pas moins symbolique pour cette firme étant donné que ce montant correspond « au chiffre d’affaire que la société réalise en 3h20 »(*).

Google a par la suite tenté de remettre en cause cette sanction en saisissant le Conseil d’État qui rejette sa demande dans un arrêt en date du 19 juin 2020(*) et qui donc valide la sanction prévue par la CNIL.

Le Conseil d’État dans sa décision va analyser les articles relatifs au règlement européen sur la protection des données personnelles (RGPD) pour constater la réalité des manquements sur la clarté des informations concernant le traitement des données et sur la notion de consentement.

Au niveau de l’information sur le traitement des données, le système d’exploitation est contraire aux exigences du RGPD à la fois sur le contenu et à la fois sur la forme.

En ce qui concerne la forme, l’article 12 du RGPD dispose que « Le responsable du traitement prend des mesures appropriées pour fournir toute information […] d’une façon […] aisément accessible, en des termes clairs et simples en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique (…)»(*). Le Conseil d’État en tire de cet article que « les informations fournies doivent permettre à l’utilisateur de déterminer à l’avance la portée et les conséquences du traitement. […] tous les éléments pertinents relatifs aux différentes finalités et à l’ampleur du traitement doivent lui être aisément accessibles ». Par conséquent, l’organisation en arborescence, c’est-à-dire « une approche à plusieurs niveaux avec le premier niveau relatif aux Règles de confidentialité et conditions d’utilisation », le deuxième en cliquant sur « plus d’option » ou « en savoir plus » qui permet à l’utilisateur d’accéder à une information plus précise »(*) est considérée comme n’étant pas accessible l’utilisateur. Et pour cause, cette organisation participe à un éparpillement des informations qui va alors nuire à la clarté des informations pour l’utilisateur ce qui est un véritable risque pour celui-ci alors que les traitements des données par Google est assez conséquent(*). Il est question d’éparpillement puisque l’utilisateur doit rechercher lui-même les informations concernant le traitement de ses données personnelles; d’autant que certaines informations ne sont accessibles qu’après plusieurs clics, ce qui empêche une bonne information des utilisateurs.

En ce qui concerne le contenu des informations, l’article 12 du RGPD précise que « l’information doit être concise, transparente et compréhensible.. »(*). Sauf que le Conseil d’État constate la « présence d’information lacunaire sur la durée de conservation des données et des finalités des différents traitements opérés par Google »(*). Par conséquent, « les informations ne permettent pas à l’utilisateur de comprendre les conséquences des traitements »(*). Par conséquent (oui…), l’organisation de Google est contraire à l’article 12 du RGPD en raison de l’existence de plusieurs manquements.

Au niveau de la notion de consentement, la CNIL considère que le consentement des utilisateurs relatif aux « traitements relatifs au ciblage publicitaire » n’est pas libre et éclairé.

Le point 11 de l’article 4 du RGPD donne les différents caractères du consentement. Celui-ci « s’entend comme toute manifestation de volonté, libre, spécifique, éclairée et univoque »(*). Aussi, l’article 7 du RGPD explique que le recueillement du consentement doit être effectué d’une différente manière que les autres questions posées(*). De même, le Conseil d’État se base sur la décision de la Cour de Justice de l’Union Européenne en date du 1er octobre 2019 qui précise que le consentement de l’utilisateur doit résulter d’un comportement actif. Par conséquent, n’est pas constitutif du consentement de l’utilisateur, une case pré-cochée(*).

Le Conseil d’État relève qu’au moment de la création d’un compte Google indispensable pour pouvoir utiliser le système Android, l’utilisateur doit accepter « que ses informations soient traitées conformément à un paramétrage par défaut qui inclut des fonctions de personnalisation de la publicité »(*). Aussi, l’information sur le ciblage est « générale et diluée au milieu d’autres informations qui ne traitent pas du ciblage publicitaire »(*). L’utilisateur devra dans certains cas cliquer sur « plus d’option » afin d’avoir des « informations complémentaires sur la finalité des ciblages publicitaires » qui restent insuffisantes(*). De par les différentes informations soumises aux utilisateurs, il est clair que les informations relatives au ciblage publicitaire ne sont ni accessibles, ni compréhensibles. Par conséquent, le consentement de l’utilisateur face à toutes ses informations ne peut être recevable. Enfin, le Conseil d’État, relève que le consentement est recueilli au moyen d’une case pré-cochée, cette forme étant considérée comme contraire au RGPD puisqu’il a été dit précédemment que le consentement doit résulter d’un comportement actif de l’utilisateur.

Selon le Conseil d’État, « la gravité des faits reprochés à Google, leur caractère continu et leur durée, la situation financière de la société Google LLC font que la sanction des 50 millions d’euros n’est pas considérée comme étant disproportionnée »(*). Et comme il a été expliqué précédemment, la somme demandée par la CNIL est considérée comme étant symbolique étant donné que cette somme représente une part très maigre du chiffre d’affaire colossal du mastodonte californien.

Cette décision de la CNIL et sa validation par le Conseil d’État, constitue un véritable progrès pour la protection des données en France. Google devra dès lors revoir ses modalités d’obtention du consentement(*) en plus des différentes informations sur la collecte des données. Cette première décision, en France, est une mise en garde pour ce qu’on appelle les GAFAM (les géants d’Internet que sont Google, Apple, Facebook, Amazon et Microsoft). Désormais tous les renseignements concernant la collecte et le traitement des données se doivent d’être respectueux des RGPD afin d’assurer une protection suffisante à l’utilisateur. Cependant, il convient de rappeler que les RGPD de par sa nature produit plein d’effets envers les états membres de l’Union Européenne. Toutefois, d’autres pays en dehors de l’Union Européenne disposent ou vont disposer d’un texte protégeant les données personnelles(*). Il est alors possible de penser que cette première décision n’est pas la dernière et constitue une sorte de mise en garde pour ces géants du web qui doivent absolument respecter les RGPD sous peine de se voir sanctionner de façon plus ou moins significative.

Retrouvez nos autres dossiers

Retrouvez notre service de veille marketing

Sources

%d blogueurs aiment cette page :