Le 21 janvier 2019, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) – compétente pour prononcer les sanctions – a condamné un acteur majeur de services technologiques à une amende de 50 millions d’euros pour manquement aux obligations de transparence et d’informations ainsi qu’à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité – obligations prévues par le Règlement Général sur la Protection des Données (RGPD).
Suite à la mise en application du RGPD le 25 mai 2018, la CNIL a reçu des plaintes collectives des associations None Of Your Business et la Quadrature du Net à l’encontre de ce géant du Web. Elles faisaient grief à ce dernier de ne pas avoir de base juridique valable pour le traitement des données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.
En vue de contrôler la conformité au RGPD et à la loi informatique et libertés des traitements de données personnelles réalisés par cet acteur, la CNIL a analysé le parcours d’un utilisateur et les informations auxquels il peut avoir accès lors de la création d’un compte au moment de la configuration de son équipement mobile.
La CNIL a constaté premièrement un manquement aux obligations de transparence et d’informations. Elle a notamment indiqué que les utilisateurs n’avaient pas accès aisément aux informations pertinentes – celles-ci étant disséminées dans plusieurs documents accessibles en plusieurs étapes. De plus, les informations délivrées n’étaient pas toujours claires et compréhensibles. Les utilisateurs ne pouvaient ainsi pas comprendre l’ampleur des traitements mis en place par celui-ci. Les finalités étant décrites de façon trop générique et vague.
Dans un second temps, la CNIL a constaté que le consentement n’était pas valablement recueilli, ceci pour deux raisons majeures. La CNIL considère que le consentement des utilisateurs n’est pas suffisamment éclairé, du fait de la dissémination des informations dans plusieurs documents, ne permettant pas à l’utilisateur d’en prendre connaissance dans leur intégralité.
Elle a également constaté que le consentement des utilisateurs n’est pas recueilli de manière spécifique et univoque. Pour rappel, le consentement est univoque lorsque l’utilisateur effectue un acte positif. Or, l’utilisateur doit cliquer sur une rubrique pour accéder aux paramétrages et celle relative à l’affichage d’annonces personnalisées est cochée par défaut. Il n’est pas non plus spécifique dans la mesure où l’acceptation des conditions d’utilisation de ses informations oblige l’utilisateur à consentir en bloc à toutes les finalités alors que le RGPD impose un consentement distinct pour chaque finalité.
En condamnant la société à une amende de 50 000 euros, la CNIL a fait application, pour la première fois des nouveaux plafonds de sanctions prévus par le RGPD.
Il convient désormais d’attendre quelle sera la décision du Conseil d’Etat saisi en qualité de juridiction d’appel de la décision de la CNIL.