Google et la CNIL, une affaire de consentements mal obtenus

Dans sa décision Délibération no SAN 2019 001, la Commission Nationale de l’Informatique et des Libertés (la « CNIL »), réunie en sa formation restreinte, a jugé que la société Google LLC (« Google ») avait failli à ses obligations de transparence et d’information imposées par le Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») et que le consentement sur lequel se fonde Google pour le traitement de personnalisation de la publicité n’est pas valablement recueilli.

Sans entrer dans les détails des manquements de Google, voici quelques éléments que vous devriez retenir de cette décision si vous exploitez, par exemple, une entreprise qui vend à des Européens sur le Web (autres que la CNIL n’entend pas trop vous laisser la chance de vous amender avant de vous punir).

L’établissement principal

L’établissement principal d’un responsable du traitement (l’entreprise qui traite les données personnelles) n’est pas déterminé en fonction de sa taille (nombre d’employés, valeur monétaire des activités économiques qui y ont cours, etc.), mais en fonction qu’il soit ou non le lieu où sont prises les décisions quant aux finalités et aux moyens de traitement de données à caractère personnel et si ce lieu a le pouvoir de faire appliquer ces décisions.

En l’espèce, en l’absence d’un établissement principal dans l’Union européenne, toute autorité de contrôle était compétente pour exercer le recours contre Google.

La séparation des consentements

Cette décision nous rappelle l’importance de séparer chaque demande de consentement sans précocher aucune case dans le but d’obtenir un consentement en bloc.

Lorsqu’une entreprise traite des données complexes, techniques ou de manière non prévue, cette entreprise doit définir séparément et de façon claire les principales conséquences du traitement pour la personne concernée. Cette dernière (votre utilisateur, par exemple) doit être informée de l’effet de ce traitement sur elle et à chaque fois que vous chercher à obtenir son consentement pour utiliser une de ses données personnelles, vous devriez vous assurer qu’elle y consente explicitement (par l’activation d’un bouton, par exemple) et que vous ne puissiez aller de l’avant avec le traitement de cette donnée sans ce consentement, et ce même si cette personne accepte finalement votre politique de confidentialité afin d’obtenir vos services. Si plusieurs traitements de données personnelles requièrent le consentement de votre utilisateur, chaque demande de consentement incluse à votre politique de confidentialité devra être préalablement paramétrée de manière à refuser le traitement. Ce n’est que lorsque votre utilisateur aura modifié ce paramètre afin d’autoriser le traitement que vous pourrez effectuer ce dernier.

Consentement éclairé

Afin que le consentement soit éclairé, il sera pertinent de rendre accessibles par hyperlien (par exemple) les différents services que vous utilisez pour traiter les données de vos utilisateurs. Les personnes concernées doivent être en mesure d’avoir une juste perception de la nature et du volume des données que vous colligez sur elles.

Beaucoup de documents relatifs à la confidentialité et plusieurs clics : mauvaise idée

L’utilisation de plusieurs documents électroniques nécessitant plusieurs « clics » est à éviter. Dans le cas de Google, certaines informations requéraient de naviguer dans plus d’un document et jusqu’à six actions étaient requises avant de trouver l’information.

La pratique recommandée est de rédiger les politiques de confidentialité par étage (layer). Nous croyons toutefois qu’une attention particulière est de mise sur le nombre d’étages et de clics requis pour accéder à l’information. L’utilisation de titres explicites dans de telles politiques sera utile puisque le nombre de clics et l’aisance à repérer l’information recherchée seront dorénavant des critères à considérer dans l’établissement de la validité ou non de l’obtention d’un consentement.

La description des finalités du traitement

Quant à la description des finalités du traitement d’une donnée personnelle, il est primordial d’être précis et de mettre en évidence l’ampleur du traitement et le degré d’intrusion dans la vie privée de la personne concernée. Google s’est fait reprocher d’avoir décrit ses finalités de manière trop générique. Ici, il faut rappeler qu’en donnant trop de détails, on pourrait embrouiller la personne concernée et manquer également à cette obligation de transparence. Ainsi, la description de ces finalités requerra de la finesse. Est-ce que vous avez précisément identifié chacune des finalités du traitement que vous effectuez avec des données à caractère personnel au moment où vous les colligez?

Atteintes substantielles

La CNIL précise qu’un défaut de transparence concernant la personnalisation de la publicité (remarketing), tout comme l’absence de consentement valide des utilisateurs à ce traitement, constituent des atteintes substantielles à la protection de leur vie privée et se situent à contre courant des aspirations légitimes des personnes souhaitant conserver la maîtrise de leurs données. Si vous faites affaire sur le Web et colligez des données à caractère personnel sur des personnes en Europe, vous devriez jeter un œil à votre politique de confidentialité afin de vous assurer qu’elle surpasse celle de Google.

Il sera pertinent de suivre les suites de cette décision, laquelle a été portée en appel devant le Conseil d’État par Google. 

Nicolas St-Sauveur fait partie de l’équipe Web de BCF qui offre à notre clientèle des services et des conseils juridiques pertinents à propos de leur présence sur Internet. Cet environnement en constante évolution requiert l’expertise d’une équipe multidisciplinaire comme celle de BCF.

Inscrivez-vous à nos communications et bénéficiez de notre connaissance du marché pour déceler de nouvelles occasions d’affaires, vous renseigner sur les meilleures pratiques innovantes et recevoir les plus récents développements. Découvrez en primeur notre intelligence d’affaires et nos événements.