[mis à jour le 27 janvier 2019] Ça y est ! Tout le monde attendait une première condamnation « significative » pour manquement au Règlement UE 2016/679 RGPD-GDPR du 27 avril 2016. La CNIL l’a fait avec une condamnation à 50.000.000 d’€uros de sanction « administrative ».

Je vous rappelle que sur le fondement de la Directive 95/46 et de la loi « informatique et Libertés » ancienne version, les sanctions potentielles étaient de 150.000 €uros (3 millions en France depuis la loi « République numérique »).

Voici donc un post rapide « RGPD-GDPR sanction CNIL 21 janvier 2019 GOOGLE LLC » à propos de la délibération n°SAN 2019-001 du 21 janvier 2019.

[mise à jour du 10/01/2021 : si vous souhaitez mettre en perspective cette condamnation de la CNIL avec le reste de la jurisprudence en Europe et en France entre 2011 et 2020, cliquez sur ce lien].

RGPD-GDPR sanction CNIL 21 janvier 2019 GOOGLE : les faits

Résumé rapide de la décision SAN 2019-001 (accessible en version intégrale en cliquant sur ce lien) : Google commercialise son système d’exploitation Android pour téléphone mobile et « encourage » vivement ses users à lier l’utilisation de son système d’exploitation avec un compte Google.
La personne morale condamnée ? « Google LLC. … société à responsabilité limitée de droit américain dont le siège social est situé à Moutain View, en Californie (Etats-Unis)« .
Selon la CNIL, les conditions d’acceptation en France de la collecte et du traitement des données par Google LLC passent par un parcours laborieux imposant de nombreux clics en ligne : « L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions » (je cite la CNIL sur son site web). Au final pour la CNIL, le user ne sait pas ce qu’il accepte…
C’est la première décision de la CNIL sur le fondement du RGPD après une plainte de la Quadrature du Net et de l’association fondée en Autriche par Maximilian Schrems (l’homme qui a fait tomber le « Safe Harbor »). Suite à ces plaintes, la CNIL a procédé à un « contrôle en ligne…en septembre 2018 » (donc, pas besoin pour elle de valider une action collective des deux demanderesses initiales) analysant le parcours du combattant imposé par Google à ses users.

RGPD-GDPR sanction CNIL 21 janvier 2019 GOOGLE : les sanctions potentielles

Depuis des mois, les professionnels se demandent concrètement à quel montant ils sont susceptibles d’être condamnés s’ils ne respectent pas les règles du RGPD en matière d’information préalable obligatoire (articles 12 et 13 RGPD) et celles concernant le consentement préalable nécessaire à certains traitements de données (à caractère personnel – vous vous en doutez bien…). Une fois encore sur ce point, la CNIL rappelle clairement que toute forme de publicité personnalisée en ligne nécessite un consentement préalable, « éclairé » « spécifique » et « distinct » de toute autre base légale.
Donc potentiellement pour GOOGLE LLC « [qui] a réalisé un chiffre d’affaires de 109,7 milliards de dollars (soit environ 96 milliards d’euros) en 2017 » précise la CNIL, la sanction peut grimper jusqu’à environ 4 milliards d’euros.

RGPD-GDPR sanction CNIL 21 janvier 2019 GOOGLE : les manquements au RGPD

C’est un véritable inventaire à la Prévert de manquements au RGPD que reproche la CNIL à Google LLC :

Le risque potentiel pour GOOGLE LLC « [qui] a réalisé un chiffre d’affaires de 109,7 milliards de dollars (soit environ 96 milliards d’euros) en 2017 » ? Environ 4 milliards d’euros.
La sanction ? 50 millions d’euros. C’est juste « énorme » comme diraient mes ados.
Mais si je vous dis que 50.000.000 €uros, ça fait 0,0002 % du CA de Google LLC en 2017, vous me croyez ou il y a trop de zéro pour vous ? Je vous rappelle que jusqu’en octobre 2016, le risque de sanction était de 150.000 €uros.

RGPD-GDPR sanction CNIL 21 janvier 2019 GOOGLE : la prochaine étape ?

Inconcevable que Google accepte la sanction ! La procédure à venir ? Probablement un appel dans les 4 mois devant le Conseil d’Etat [mise à jour du 27 janvier 2018 : c’est chose faite selon Le Monde du 24 janvier 2019], notre haute juridiction administrative qui connait ce type de contentieux de manière exclusive en appel. Et puis après (pourquoi pas ?), une saisine de la Cour de Justice de l’Union Européenne ? Une affaire très certainement à suivre.
Et si vous cherchez une (excellente) analyse de cette délibération par un journaliste qui sait de quoi il parle, allez lire l’article « RGPD : pourquoi la CNIL a infligé 50 millions d’euros de sanction à Google » de Marc Rees (NextINpact) daté du 22 janvier 2019.