21 Mar Google peut-il invoquer son intérêt légitime pour personnaliser sa publicité ?
Après l’amende record qui lui a été infligée par la Commission nationale informatique et des libertés (« CNIL »), la société Google LLC a décidé de faire appel de la délibération de l’autorité française devant le Conseil d’Etat. Les arguments que la société est susceptible de faire valoir devant la Haute Juridiction pourraient, pour partie, différer de ceux invoqués initialement devant la CNIL.
Dans sa délibération en date du 21 janvier 2019, la CNIL a condamné la société Google LLC à une amende de 50 millions d’euros pour de nombreux manquements relevés au nouveau Règlement européen sur la protection des données (« RGPD »). Saisie par deux plaintes collectives déposées en application de l’article 80 du RGPD par les associations None Of Your Business et la Quadrature du Net, la CNIL devait notamment apprécier si la base légale des traitements relatifs à l’analyse comportementale et au ciblage publicitaire était adéquate, et si les utilisateurs de Google avaient la possibilité de refuser – ou d’accepter – tous les traitements réellement mis en œuvre et décrits dans la politique de confidentialité Google.
Le périmètre des investigations de la CNIL portait plus spécifiquement sur les traitements mis en œuvre lorsqu’un utilisateur crée un compte Google lors de la configuration d’un appareil sous Android.
La CNIL a relevé deux séries de manquements.
Tout d’abord, la société Google n’a pas respecté ses obligations de transparence et d’information prévues par les articles 12 et 13 du RGPD. En effet, plusieurs actions de l’utilisateur sont nécessaires pour accéder aux informations relatives à la personnalisation des annonces et à la géolocalisation. La CNIL relève également de nombreuses imprécisions ou omissions. Ainsi, les catégories de données précisément traitées pour chaque finalité ne sont pas mentionnées. Les finalités sont décrites de manière trop imprécises. Certaines durées de conservation ne sont pas mentionnées, et les bases légales des traitements ne sont pas explicitement précisées.
Ensuite, la société Google, qui affirme que la base légale de son traitement relatif à la publicité personnalisée est le consentement, ne recueille en réalité pas un consentement valide au sens du RGPD. Ainsi, étant donné que l’information préalable des utilisateurs n’est ni complète, ni claire et transparente, le consentement de l’utilisateur ne peut être suffisamment éclairé.
Google ne met pas ses utilisateurs en mesure d’avoir une appréciation globale des traitements dont ils peuvent faire l’objet (publicité personnalisée ou ciblage publicitaire par exemple), ni de leur portée (s’agissant notamment de la pluralité des services impliqués : Google Search, YouTube, Google maps, etc.) ni enfin du nombre de données collectées et combinées.
Le consentement mis en œuvre par la société ne répond pas non aux exigences de spécificité et d’univocité. D’une part, certaines cases sont pré-cochées, notamment celles concernant le choix en matière d’annonces personnalisées et ne requièrent donc pas d’acte positif clair de la part de l’utilisateur. D’autre part, Google prévoit des consentements en bloc à propos de traitements dont la compréhension des finalités nécessite d’ouvrir d’autres pages.
Cette délibération constitue la première sanction pécuniaire prise par la CNIL en application des nouveaux seuils instaurés par le RGPD. Eu égard à l’importance et à la permanence des manquements constatées, et à l’importance économique de la société, la CNIL s’est prononcée sans mise en demeure préalable, et a rendu sa délibération publique. C’est seulement quelques jours après la délibération que Google a annoncé sa volonté de faire appel.
La position de Google
Le 21 février 2019, lors d’une conférence qui s’est tenue à Dublin, le chief data officer (« CDO ») de Google s’est exprimé à propos de cette décision et des suites dont elle va faire l’objet.
Ses propos, rapportés par le quotidien Irish Independent et le service d’information mind Media, visent non seulement à réaffirmer la conformité de la société au droit européen, mais également à démontrer que ce sont les utilisateurs qui sont les principaux bénéficiaires de ses pratiques.
Le CDO explique ainsi qu’en collectant et en traitant les données personnelles des utilisateurs, la société Google peut diffuser ses publicités ciblées dont les revenus vont par la suite l’aider à fournir ses services gratuitement. Il en va ainsi par exemple de son moteur de recherche ou de Google Maps. In extenso, ce modèle commercial aide notamment « les créateurs du monde entier » à diffuser leurs contenus gratuitement et donc à les faire connaitre partout.
Cependant, raisonner en ces termes ne semble pas changer la portée de la délibération de la CNIL s’agissant des manquements à l’obligation de transparence et d’information. Si les services mis à disposition par la société Google ont un effet si bénéfique sur ses utilisateurs, ces derniers doivent être informés de manière conforme au RGPD, sur les traitements mis en œuvre sur leurs données. La CNIL semble avoir pris bonne note de cet aspect lorsqu’elle souligne par exemple « l’importance particulière de ces traitements compte tenu de leur impact sur les personnes dans l’économie numérique » (point 118).
Les propos du CDO de Google pourraient en revanche annoncer un changement de défense s’agissant de la base légale de ses traitements. En tentant de justifier son modèle commercial, la société Google semble en effet invoquer son intérêt légitime. Au côté du consentement, l’intérêt légitime est une des six bases légales prévues à l’article 6 du RGPD.
Ce fondement permet aux responsables de traitement de traiter des données personnelles afin d’exécuter des missions liées à leurs activités professionnelles. Jusqu’alors, pour défendre sa conformité devant la CNIL, la société Google avait argué du fait que, s’agissant des traitements de personnalisation de la publicité, elle se fondait uniquement sur le consentement (points 118 et 131 de la délibération).
Les précisions apportées par la CNIL dans sa délibération
Dans sa délibération, la CNIL n’exclut pas que des traitements effectués par Google puissent être fondés sur l’intérêt légitime. Elle distingue ainsi la publicité proprement personnalisée (effectuée à partir de la combinaison de multiples données relative à l’utilisateur), qui ne peut reposer que sur un consentement, et d’autres formes de ciblage (effectuées par exemple en fonction du contexte de navigation), qui peuvent quant à elles être fondées sur l’intérêt légitime.
Elle relève néanmoins les trois catégories de données collectées et traitées par la société : données confiées par les utilisateurs (nom, prénom, numéro de téléphone, etc.), données générées par l’activité de l’utilisateur (adresse IP, données de géolocalisation, recherches effectuées) et données dérivées des données fournies par cet utilisateur.
S’agissant de cette dernière catégorie, la CNIL indique que certaines finalités déclarées par Google ne peuvent être accomplies qu’en générant des données à partir des deux autres catégories de données. Ainsi, aussi bien la publicité personnalisée que la fourniture de contenus, de recherches ou de recommandations personnalisés nécessitent de recueillir puis de combiner des données des utilisateurs. Tous les traitements de ciblage qui nécessitent le traitement de données personnelles ne peuvent donc être fondés sur l’intérêt légitime.
L’avis du CEPD
Le 12 mars 2019, le Comité Européen à la protection des données (« EDPB » pour European Data Protection Board) a, à la demande de la Belgique, rendu un avis contraignant sur l’interaction entre RGPD et la directive 2002/58/CE dite « vie privée » ou « ePrivacy » telle que modifiée par les directives 2006/24/CE et 2009/136/CE.
Ce comité européen a été instauré par le RGPD pour remplacer l’ancien Groupe de travail de l’article 29 (« G29 »). Son rôle est d’harmoniser la position des autorités nationales de protection des données au niveau européen, et il a repris a repris à son compte les anciennes lignes directrices du G29.
Dans son avis du 12 mars 2019, l’EDPB explique plus particulièrement comment articuler les différentes bases légales prévues par le RGPD et la directive ePrivacy. Notamment, l’article 5(3) de la directive ePrivacy exige un consentement préalable de l’utilisateur avant le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations y étant déjà stockées. Selon l’EDPD, cet article 5(3) doit prévaloir sur l’article 6 du RGPD (qui prévoit les six différentes bases légales existantes) si les données auxquelles il est accédé ou qui sont stockées sur le terminal de l’utilisateur sont des données à caractère personnel.
Ainsi, lorsqu’un organisme souhaite accéder à des données personnelles stockées dans le mobile d’un de ses utilisateurs, il doit obligatoirement recueillir leur consentement, sauf si ces actions sont strictement nécessaires pour la délivrance d’un service. Le RGPD ne semble donc pas applicable initialement au stockage ou à l’accès aux informations stockées dans les équipements des utilisateurs d’un service. Les traitements ultérieurs qui nécessitent l’utilisation de ces données pourront quant à eux être fondés sur une des six bases légales prévues à l’article 6 du RGPD.
Par cet avis, l’EDPB semble donc fermer la porte à l’utilisation d’un intérêt légitime en cas d’accès à des données personnelles sur les équipements des utilisateurs. Seul le consentement est possible. Par la suite, le responsable de traitement qui a recueilli de telles données pourra en revanche invoquer son intérêt légitime, par exemple s’il souhaite effectuer des statistiques sur les utilisateurs de ses services.
Il appartiendra donc au Conseil d’Etat de confirmer ou d’annuler, en tout ou en partie, la décision prononcée par la CNIL, et ce à la lumière de l’avis contraignant de l’EDPB. Il est à cet égard possible que le Conseil d’Etat transmette certaines question à la Cour de justice de l’Union européenne, comme elle l’a déjà fait concernant l’application du droit à l’oubli sur les moteurs de recherche.