Par une délibération du 21 janvier 2019, la formation restreinte de la Commission nationale de l’Informatique et Libertés (Cnil) a prononcé une sanction publique de 50 millions d’euros à l’encontre de la société Google LLC, pour manquement à ses obligations découlant du Règlement général sur la protection des données (RGPD).
Notamment, la formation restreinte relève que malgré des « progrès réalisés ces dernières années par la société dans sa politique d’information des utilisateurs », l’information délivrée par celle-ci ne permet pas d’atteindre les objectifs de concision, d’accessibilité et de transparence exigés par le RGPD.
Mathias Avocats analyse la délibération de la formation restreinte, qui comporte des précisions sur l’interprétation par la Cnil de l’obligation d’information.
Quels sont les faits ?
La Cnil a reçu les 25 et 28 mai 2018 des plaintes collectives émanant respectivement des associations autrichienne « None Of Your Business » (NOYB) et française « La Quadrature Du Net » (LQDN). Ces associations ont agi en application de l’article 80 § 1 du RGPD, qui permet notamment à toute personne concernée de mandater une personne morale à but non lucratif valablement constituée et évoluant dans le domaine de la protection des données à caractère personnel pour introduire une réclamation en son nom.
A la suite de ces plaintes, la Cnil a diligenté une procédure de contrôle à l’égard du géant américain. Pour procéder à l’appréciation de sa conformité au RGPD, la formation restreinte a choisi de procéder à un contrôle en ligne selon un scénario précis. En l’espèce, le contrôle a porté sur le parcours d’un utilisateur configurant un appareil mobile sous le système d’exploitation Android pour la première fois et créant un compte Google.
Ce scénario, malgré son périmètre réduit, permet à la formation restreinte d’apprécier un grand nombre de traitements mis en oeuvre par la société. En effet, la formation restreinte relève que la société elle-même reconnait que les traitements opérés dans le cadre de la création et de l’utilisation d’un compte Google sur un appareil mobile fonctionnant sous Android sont « en grande partie similaire » aux traitements opérés quand ce même compte est utilisé sur un appareil mobile fonctionnant sous un autre système d’exploitation ou depuis un ordinateur.
Rappels sur l’obligation d’information
A l’occasion de ce contrôle, la formation restreinte a relevé des manquements de la société au principe de transparence et à l’obligation d’informer les personnes concernées.
Les données à caractère personnel doivent être traitées de manière « licite, loyale et transparente au regard de la personne concernée » (RGPD, article 5 1 a). De ce principe de transparence découle notamment l’obligation pour tout responsable du traitement d’informer les personnes concernées sur les traitements (RGPD, articles 12 à 14). La formation restreinte rappelle à ce titre qu’en application des dispositions de l’article 12 § 1 du RGPD, les informations doivent être fournies de façon « concise, transparente et aisément accessible ».
Le Groupe de travail de l’article 29 (G29) a adopté en avril 2018 des lignes directrices sur le principe de transparence (WP260). Dans la continuité de ces lignes directrices, la Cnil a notamment suggéré aux responsables de traitements de diffuser l’information requise en plusieurs temps, à différentes étapes du parcours utilisateur.
Cette diffusion en plusieurs étapes permet de donner à la personne concernée dans un premier temps les informations essentielles puis de la renvoyer vers une mention d’information complète dans un second temps.
Un manque de transparence et de clarté
La formation restreinte estime que la société ne satisfait pas à son obligation d’information.
La société estime pourtant avoir mis en pratique les recommandations du G29 et de la Cnil. Elle a en effet institué un premier niveau d’information offrant une « bonne vue d’ensemble des traitements » dans un document intitulé « Règles de confidentialité et conditions d’utilisation », qui s’affiche à la création du compte. Ce document renvoie à une politique de confidentialité pour accéder à l’ensemble des informations. Soulignons toutefois que la formation restreinte estime que les informations présentes dans le premier niveau d’information sont insuffisantes pour permettre à l’utilisateur de mesurer les conséquences des traitements opérés.
Toutefois, cette politique ne se limite pas à énoncer les éléments d’information relatifs aux seuls traitements mis en oeuvre par la société au moment de la création de son compte par l’utilisateur. En effet, elle centralise l’ensemble des caractéristiques des traitements mis en oeuvre par la société dans le cadre de la fourniture de ses services. Elle ne se limite pas à ceux concernant directement l’utilisateur redirigé vers cette politique au moment de la création de son compte.
La formation restreinte relève que le choix ergonomique effectué par la société entraîne une fragmentation des informations sur le traitement, en ce compris les informations dont la délivrance est rendue obligatoire par l’article 13 du RGPD. Ces informations se trouvent localisées à différents endroits au sein du document, voire dans d’autres documents accessibles par des renvois internes. Ceci les rend difficile à trouver par l’utilisateur. En sus, la grande quantité d’informations présentes dans la politique de confidentialité ne permet pas la personne concernée d’identifier rapidement les informations pertinentes pour lui.
En outre, la formation restreinte estime que certaines des informations ne sont pas suffisamment claires et compréhensibles, en particulier les informations portant sur les bases légales des traitements mis en œuvre qui manquent de précision. Faute de pouvoir comprendre ces éléments, la personne concernée ne peut réellement mesurer la portée des traitements envisagés sur sa vie privée.
La formation relève que le moment de la création du compte Google « marque l’entrée de l’utilisateur dans l’écosystème des services Google », qui met en œuvre des traitements « particulièrement massifs et intrusifs » notamment compte tenu du nombre de services proposés, de la quantité et de la nature des données traitées et combinées. En conséquence, elle estime que l’utilisateur doit être informé dans le respect des objectifs de clarté et d’accessibilité dès ce stade de création du compte. L’existence d’outils permettant à l’utilisateur du compte de s’informer ultérieurement sur les traitements et de contrôler l’usage fait de ses données tout au long des traitements occasionnés par les différents services de la société ne permet pas de pallier les non-conformités de l’information délivrée à la création du compte.
Que retenir ?
Après lecture de la délibération, les éléments suivants peuvent être retenus :
- L’information relative au traitement de données peut être délivrée à plusieurs niveaux.
- L’entité qui fait le choix de renvoyer à une politique centralisant l’information relative aux traitements mis en oeuvre dans le cadre de l’intégralité de ses services est susceptible de commettre un manquement à l’obligation d’information.
- La politique relative à la protection des données ou privacy policy ne constitue donc pas systématiquement l’instrument le plus pertinent pour réaliser l’information de second niveau.
Une obligation complexe à mettre en pratique
La position de la formation restreinte soulève des interrogations sur la portée des recommandations diffusées par le G29 et la Cnil concernant le principe de transparence et l’obligation d’information.
Notamment, bien que cela fasse partie des bonnes pratiques recommandées par les autorités de contrôle, diffuser l’information sur deux niveaux ne permet pas de garantir une transparence renforcée au bénéfice des personnes concernées. En l’espèce, loin de faciliter la compréhension, cette architecture semble avoir favorisé la caractérisation du manquement.
Le RGPD ne mentionne pas cette possibilité d’informer en deux temps les personnes concernées. Ses articles 13 et 14, qui listent les informations devant être obligatoirement fournies à la personne concernée, n’instaurent pas de hiérarchie ou d’ordre d’importance entre les éléments listés. Aujourd’hui, il n’existe pas de référentiel précis permettant aux responsables de traitements d’identifier, en cas de diffusion de l’information sur plusieurs niveaux, les informations essentielles devant être fournies dès le premier niveau de celles pouvant n’être fournie qu’à travers un deuxième niveau d’information.
De manière plus générale, cette sanction souligne la difficulté pour les responsables de traitements de concilier l’exigence de délivrer des informations complètes de celle de les délivrer de manière concise, pour ne pas « noyer d’informations les personnes concernées » comme le relève le G29. En l’espèce, la société indique avoir souhaité centraliser les informations sur les traitements opérés par ses services en un seul document, afin de permettre à ses utilisateurs de bénéficier d’une vue d’ensemble. Or cela a mené à un excès inverse, puisque la grande quantité d’information rassemblée empêche la personne concernée d’avoir une vision claire sur les traitements la concernant.
A l’heure actuelle, il revient donc à chaque responsable du traitement d’arrêter une stratégie au cas par cas, en appliquant une méthodologie d’analyse et de gestion des risques.
Mathias Avocats publiera prochainement deux autres articles sur cette délibération de la formation restreinte : l’un concerne les enjeux procéduraux, l’autre les modalités de recueil du consentement.