Après Android, au tour de Youtube, Gmail et Search ?
d’utilisateurs d’android en Europe faisant l’objet de ces traitements de données personnelles, dont probablement plus de 30 millions de mobinautes en France ( 6), elle considère que « les mécanismes de coopération et de cohérence tels que prévus [ par le] RGPD auraient dû s’appliquer » et que « le Comité européen de la protection des données ( CEPD) aurait dû être saisi en cas de doute sur la détermination de l’autorité chef de file » .
Sanctions suivantes : après Android, au tour de Youtube, Gmail et Search ?
Google s’appuie en particulier sur l’article 60 du RGPD, selon lequel l’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées en s’efforçant de parvenir à un consensus – l’autorité de contrôle chef de file et les autorités de contrôle concernées échangeant toute information utile. De plus, en dehors de la procédure engagée par la Cnil, Google estime « sans effet juridique » les discussions informelles qui ont pu avoir lieu entre les autres autorités européennes de contrôle sur cette procédure « dès lors qu’elles ont eu lieu sans sa présence » . La non reconnaissance par Google de l’autorité « chef de file » que s’est arrogée la Cnil sera ainsi au coeur des réflexions du Conseil d’etat qui devra dire si l’autorité – présidée par Marie- Laure Denis depuis début février – a outrepassé ou pas ses compétences territoriales et si sa sanction financière est légale ou non. Dans son considérant n° 36, le RGPD prévoit que « l’établissement principal d’un responsable du traitement dans l’union ( européenne) devrait être le lieu de son administration centrale dans l’union, à moins que les décisions quant aux finalités et aux moyens du traitement des données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’union, auquel cas cet autre établissement devrait être considéré comme étant l’établissement principal » . Google Ireland Limited à Dublin aurait dû alors être reconnu comme l’établissement principal en Europe et la « Cnil » irlandaise ( DPC) comme le chef de file pour instruire la procédure sur les éléments fournis par son homologue française. Cette dernière, en se référant aux lignes directrices du CEPD du 5 avril 2017 concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous- traitant ( 7), juge que la filiale irlandaise de Google ne dispose d’ « un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android » . La Cnil reconnaissant seulement son rôle dans les « activités financières et comptables, vente d’espaces publicitaires, passation de contrats etc » . L’amende de 50 millions d’euros porte sur le système d’exploitation des terminaux mobiles Android assorti de l’app Store Google Play, ainsi que sur l’activité de régie publicitaire. Il est reproché à Google de demander aux mobinautes Android d’accepter sa politique de confidentialité et ses conditions générales d’utilisation des services – et surtout, qu’à défaut d’une telle acceptation, les utilisateurs ne pourraient utiliser leur terminal ( smartphone ou tablette sous Android). Le géant du Net se permet en outre d’exploiter les traitements de données à caractère personnel à des fins publicitaires ( analyse comportementale et ciblage). Or, pour enfoncer le clou, la Cnil révèle un courrier en date du 3 décembre 2018 adressé à la DPC à Dublin pour lui annoncer « que le transfert de responsabilité de Google LLC vers la société Google Ireland Limited sur certains traitements de données à caractère personnel concernant les ressortissants européens serait finalisé le 31 janvier 2019 » . Par ailleurs, Google vient de procéder à la mise à jour de ses règles de confidentialité qui sont entrées en application le 22 janvier 2019 – soit le lendemain de sa mise à l’amende par la Cnil ! La Quadrature du Net, association française de défense des droits et libertés numériques, qui fut avec l’association autrichienne NOYB ( None Of Your Business, « ce n’est pas tes affaires » ) à l’origine des plaintes contre Google, dénonce cette manoeuvre qu’elle estime grossière et appelle la Cnil à continuer à sanctionner au- delà d’android. « Nous attendons de la Cnil qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre Youtube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise » .
Europe : 95.000 plaintes en 8 mois, c’est peu
Le bras de fer entre Google et la Cnil devant le Conseil d’etat intervient au moment où la Commission européenne a annoncé le 25 janvier – Journée de la protection des données – qu’au cours des huit mois depuis l’entrée en vigueur du RGPD ( le 25 mai 2018), « les autorités nationales de protection des données ont reçu plus de 95.000 plaintes de citoyens à ce jour » , dont 255 font l’objet d’une enquête de la part des « Cnil » ( 8). Objectivement, c’est très peu au regard des quelques centaines de millions d’européens connectés à Internet et détenteurs de smartphones. @