Au lieu de poser les fondements du RGPD, la sanction de la CNIL sème le doute

Ironique? Non symbolique! La CNIL sanctionne Google à hauteur de 50 M€ pour "manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité" autrement dit pour non-conformité au RGPD.

En condamnant le géant américain la CNIL semble vouloir faire un exemple et peut-être même placer la France à la tête de la croisade européenne contre les GAFAM. Pour autant cette stratégie est-elle judicieuse?

Prise de position risquée

Pour Florent Gastaud, DPO externe, elle est en tous cas risquée : "on sent bien une volonté de la CNIL de fixer la doctrine au niveau européen. Il faut dire que la commission dispose d'un certain poids et est très écoutée du CEPD (Comité Européen pour la Protection des Données). Il n'empêche que sa prise de position est discutable et le risque de contestation élevé." D'ailleurs Google a déjà fait savoir qu'il contesterait la décision devant le Conseil d'Etat.

Pour l'expert, plusieurs points seraient aisément contestables par le géant du net, à commencer par la compétence de la CNIL. "Le simple fait qu'elle se déclare compétente remet en cause le principe du guichet unique." Pourquoi en effet l'organe de régulation français serait plus compétent que son homologue irlandais? "La CNIL estime que la société Google Ireland Limited ne peut être considérée comme l'"établissement principal" de la société Google LLC en termes de traitement des données personnelles. Or il s'agit là d'une position osée voire dangereuse car elle n'a été corroborée par aucune autre autorité européenne comme le CEPD par exemple", souligne Florent Gastaud.

Le deuxième fait reproché à Google est le manque de transparence et l'absence d'exhaustivité dans l'utilisation des données utilisateurs. "Il s'agit là d'une prise de position qui est ce qu'elle est. (Notons au passage que nombre d'entreprises aujourd'hui doivent se trouver dans la même position que Google sur ce point précis.) Cette position de la CNIL se base notamment sur les lignes directives du G29 d'avril 2018 sur la transparence, mais pourrait largement faire l'objet de discussions devant le Conseil d'Etat. Google fournit aujourd'hui beaucoup d'informations dans ses politiques d'utilisation des données, mais agréger l'ensemble relève du parcours du combattant pour un internaute", relève le DPO.

Enfin, le troisième point de défaillance relevé par la CNIL est l'absence de base légale.

" Mal maîtrisé, le consentement peut se révéler être une formidable porte ouverte aux sanctions "

"A mon sens c'est l'argument le plus robuste car bénéficiant d'une position claire et établit depuis l'origine par les organes de régulation en matière de traitement des données personnelles." En effet, dès lors qu'il y a mise en oeuvre de données personnelles, il faut une base légale d'utilisation. "Il existe 6 bases légales parmi lesquelles le consentement, l'exécution d'un contrat ou encore l'obligation légale", indique le DPO. Pour la publicité personnalisée, Google a basé son traitement sur le consentement. Or la CNIL estime que le consentement est invalide pour deux raisons :

- l'information n'est pas claire donc le consentement ne peut être récolté

- lorsqu'un compte Google est créé, apparaît une case de consentement pré-cochée par défaut

"Or sur ce point, tant le RGPD que les instances de régulations européennes ont toujours affiché une position très claire : pour que le consentement soit valide il faut qu'il ait fait l'objet d'un acte positif de l'utilisateur. Ce point est très clair et difficilement attaquable par Google", juge Florent Gastaud.

Gare au retour de boomerang

En infligeant cette sanction symbolique somme toute assez rapidement depuis l'entrée en vigueur du RGPD, la CNIL a voulu asseoir son autorité mais sa prise de position tend plutôt à démontrer un "manque de moyens et de cohérence en allant au plus simple", tranche l'expert. De même pour l'heure on ne sait pas comment va réagir Google à part qu'il entend contester la décision, ni comment sera accueilli son action par le Conseil d'Etat.

Pis! Pour les entités qui ont des activités à l'international cette délibération vient créer une incertitude sur le guichet unique. "Les DPO et les DAF ont tout intérêt a restructurer dès maintenant le lien entre les différentes entités d'un groupe pour être en mesure de prouver, par des contrats intra groupe ou des directives écrites, qu'une filiale représente le siège des décisions en matière de données pour l'ensemble des entités européennes et qu'elle soit bien identifiée comme telle par un organe de contrôle", conseille Florent Gastaud.