La nouvelle fait grand bruit médiatique depuis quelques heures. Le 21 janvier, la formation restreinte de la Cnil (formation contentieuse, chargée de prononcer des sanctions non pénales) a décidé de condamner Google LLC – c'est-à-dire la maison mère, située à Mountain View – "pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité" sans fondement juridique, selon le communiqué de la Cnil du même jour sur son site.
Les premières plaintes sous l'empire du RGPD
Dès les 25 et 28 mai dernier, la Commission avait "reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de l’association La Quadrature du Net (« LQDN »)", cette dernière était mandatée par près de 10 000 personnes pour saisir la CNIL.
Nous passerons sur les détails de la procédure, résumés dans le communiqué signalé ci-dessus et détaillés dans la délibération fleuve de la formation restreinte publiée depuis le 22 janvier sur Légifrance.
Relevons les manquements constatés par la formation restreinte :
- Un manquement aux obligations de transparence et d’information ;
- Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité.
Nous renvoyons pour plus de détails au communiqué de la Cnil cité plus haut, ou – pour les juristes acharnés – au texte intégral de la très longue délibération de la formation signalée ci-dessus, sur Légifrance ; on a rarement vu une décision aussi longue (près de 80 000 signes, soit 20 à 30 pages, selon la mise en page et la taille du texte).
La Cnil a donc condamné Google LLC à une sanction pécuniaire de 50 millions d'euros. Et elle a décidé de rendre publique la décision immédiatement.
Une première sanction sur la base de l'article 83 du RGPD
La grande nouveauté de cette décision est que, pour la première fois, on sort des sanctions pécuniaires maximum qui avaient été récemment mises en place dans la loi du 6 janvier 1978 et déjà utilisées par la Cnil (notamment 150 000 €, déjà à l'encontre de Google – notre actualité du 16 janvier 2014) pour passer à des montants qui sont un des motifs de célébrité du RGPD : un maximum de 10, voire 20 millions d'euros selon les cas, ou 2, voire 4% du chiffre d'affaires mondial d'une entreprise (article 83).
C'est cette notion de "chiffre d'affaires mondial" qui a étonné les médias, qui se sont posés la question de savoir si 50 millions d'euros pour Google, n'était pas un goutte d'eau au regard, précisément, de son chiffre mondial. Sur ce point, Mathias Moulin, directeur de la protection des droits et des sanctions à la Commission, a donné quelques précisions dans un entretien sur France-Info le 22 janvier :
" Il faut savoir que l'assiette de cette sanction, ce sont les utilisateurs français. Ensuite, pour calculer cette amende, on utilise des critères qui sont prévus par la loi et le règlement qui sont le nombre de personnes concernées, la durée de ce manquement, la nature des manquements. Ce sont des manquements essentiels qui justifient le montant." (...)
"C'est une première brique. À partir d'aujourd'hui, l'autorité irlandaise est la seule compétence en Europe pour instruire le cas Google. Elle pourra prendre une sanction si jamais elle le fait à l'échelle européenne et pour tous les utilisateurs européens. On change d'échelle."
Affaire à suivre, donc.
Voir toutes nos actualités sur le RGPD.