Google contre la Cnil : question de territorialité
Le Conseil d’etat devra dire si la Cnil est compétente pour sanctionner financièrement Google dont le siège européen est basé en Irlande. La firme de Mountain View doit payer 50 millions d’euros pour non- respect du règlement général sur la protection des
Google fait donc appel de la décision de la Cnil ( 1) qui lui a infligé le 21 janvier dernier une amende de 50 millions d’euros « en application du RGPD ( 2) pour manque de transparence, information insatis- faisante et absence de consentement valable pour la personnalisation de la publicité » . Pour autant, ce n’est pas le montant de la sanction financière – une goutte d’eau au regard des dizaines de milliards de dollars qu’engrange chaque année la firme de Mountain View ( 3) – qui va contester devant le Conseil d’etat, mais bien la compétence de la Cnil dans cette procédure.
« Cnil » irlandaise et Google Irlande à Dublin
Google, qui s’est bien gardé d’évoquer le problème dans son communiqué laconique du 23 janvier savamment distillé auprès de quelques médias, va demander à la haute juridiction administrative d’invalider la délibération du 21 janvier – publiée au Journal Officiel du 22 janvier ( 4). Car, selon le géant du Net, « la Cnil n’est pas compétente pour mener cette procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise » – en l’occurrence la DPC ( The Data Protection Commission), basée à Dublin. C’est justement à Dublin, la capitale de l’irlande, qu’est établie la société Google Ireland Limited, dont la directrice des affaires publiques et relations gouvernementales est Anne Rooney ( photo), une Irlandaise francophone et francophile. C’est elle qui dirige Google Ireland, sous la présidence européenne de Matt Brittin ( 5), en charge des opérations et basé à Londres. Plus connu en France où il est installé, Carlo d’asaro Biondo est, lui, président européen des partenariats – tous les trois sur les régions EMEA ( Europe, Moyen- Orient et Afrique). Sur son profil Linkedin, Anne Rooney déclare : « Je suis responsable de la gestion et de la direction des agendas produits et politiques avec les décideurs politiques externes, le gouvernement, les régulateurs et les tierces parties au nom de Google Irlande et EMEA. Je développe et dirige l’engagement en matière de politiques publiques et de réglementation dans toute la gamme des domaines stratégiques qui ont une incidence sur Google et le Web. Les questions clés comprennent l’innovation technologique, le développement économique et la sécurité » . Sa maison mère est formelle et a eu l’occasion de l’affirmer à plusieurs reprises devant la Cnil : Google Ireland Limited doit être considérée comme son établissement principal au sein de l’union européenne pour certains des traitements transfrontaliers qu’elle met en oeuvre, « et notamment ceux objets des plaintes reçues par la Cnil » . En conséquence, poursuit Google, la DPC devrait être considérée comme l’autorité de contrôle compétente et « chef de file » en charge, à ce titre, de traiter les plaintes reçues par son homologue française. Devant le Conseil d’etat, le géant du Net ne manquera pas de rappeler – comme il l’a exposé devant la Cnil dans ses observations écrites ( des 22 novembre 2018 et 4 janvier 2019) ainsi qu’oralement le 15 janvier dernier – que son siège social pour ses opérations européennes se situe précisément en Irlande depuis 2003. Google Ireland Limited est « l’entité en charge de plusieurs fonctions organisation- nelles nécessaires à la réalisation de ces opérations pour la zone Europe, Moyen- Orient et Afrique ( secrétariat général, fiscalité, comptabilité, audit interne, etc.) » . C’est en outre de cette société basée à Dublin que relève « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’union européenne » . Le QG européen de Google emploie plus de 3.600 salariés et, selon les affirmations de l’entreprise elle- même, dispose d’une équipe dédiée en charge de « la gestion des demandes faites au sein de l’union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée » . Google a aussi précisé à la Cnil qu’une réorganisation tant opérationnelle qu’organisationnelle était en cours « en vue de faire de la société Google Ireland Limited le responsable de traitement pour certains traitements de données à caractère personnel concernant les ressortissants européens » .
Pour Google, la Cnil n’est pas « chef de file »
Autre argument avancé par Google : la définition d’établissement principal doit être distinguée de celle de responsable de traitement. « Si le législateur européen avait voulu que la notion d’établissement principal soit interprétée comme le lieu où les décisions concernant les traitements sont prises, il l’aurait expressément indiqué » , estime la firme de Mountain View. De plus, invoquant la nature transfrontalière des traitements de personnalisation de la publicité et du nombre significatif