La formation restreinte de la CNIL a prononcé le 21 janvier 2019, une sanction de 50 millions d’euros à l’encontre de la société Google LLC. Elle reproche à Google LLC un manque de transparence et de ne pas recueillir valablement le consentement des personnes. Pour rappel, l’association européenne None of Your Business et l’association La Quadrature du Net, avaient déposé une plainte à l’encontre de Google, mais également à l’encontre de Facebook, Instagram et WhatsApp. La CNIL a effectué un contrôle en ligne et a alors analysé le parcours des utilisateurs lorsqu’ils créent un compte Google lors de la configuration de leur équipement mobile sous Android. Quels enseignements peut-on donc tirer d’une telle sanction ?

La Cnil s’est déclarée compétente et ce quand bien même le siège social de Google dans l’Union européenne est en Ireland. Cette sanction illustre également ce qu’il ne faut pas faire en termes d’information des personnes et de recueil du consentement.

L’autorité de contrôle chef de file

Dans cette affaire, Google LLC conteste la compétence de la CNIL pour instruire les plaintes à son encontre.

En effet, la société soutient que Google Ireland Limited, située en Irlande, est son établissement principal pour les différents traitements transfrontaliers qu’elle effectue et qui ont fait l’objet de plaintes auprès de la CNIL. Elle ajoute que Google Ireland Limited dispose de nombreux moyens humains et financiers permettant la fourniture de divers services comme la vente de prestations publicitaires. Selon elle, l’autorité de protection des données irlandaise (la DPC) aurait dû être son autorité de contrôle chef de file, seule compétente pour instruire les plaintes.

Toutefois, Google LLC n’avait pas déclaré d’autorité chef de file.

Alors pourquoi la Cnil s’est-elle déclarée compétente ?

La CNIL rappelle la définition d’établissement principal : il s’agit du lieu où sont prises les décisions concernant les finalités et les moyens du traitement des données. La CNIL insiste particulièrement sur la notion de « pouvoir de décision ». En d’autres termes, l’entité désignée comme établissement principal doit disposer d’un réel pouvoir de décision concernant les finalités des traitements opérés pour être qualifié comme tel. L’établissement principal ne sera donc pas nécessairement le siège social du responsable de traitement.

La CNIL s’appuie sur les lignes directrices du Comité européen à la protection des données (CEDP) et insiste sur le fait que l’élection de juridiction n’est pas autorisée par le règlement. La désignation de l’établissement principal doit se fonder sur des éléments objectifs. Cette désignation pourra a priori toujours être remise en cause si elle n’est pas justifiée.

La transparence, le maître mot d’une information complète de l’utilisateur

La CNIL reproche à Google LLC de ne pas fournir des informations accessibles, claires, compréhensibles et transparentes à ses utilisateurs. En effet, Google s’est vu infliger une amende conséquente puisque la société a fait le choix dans son architecture de l’information, de disperser dans plusieurs documents certaines informations essentielles telles que les finalités de traitement ou encore les catégories de données utilisées.

A titre d’exemple, une première partie des informations devant être fournies à l’utilisateur se trouve dans les règles de confidentialité et conditions d’utilisation, puis dans un second temps, d’autres informations sont communiquées à l’utilisateur par le biais de différents liens. L’utilisateur doit alors cliquer sur les liens et sur des boutons pour accéder aux informations complémentaires. L’utilisateur doit donc multiplier les actions pour accéder à l’information pertinente. Au total, l’utilisateur doit effectuer cinq actions pour accéder à l’information concernant les traitements de personnalisation de la publicité, et six actions en ce qui concerne les traitements de données de géolocalisation. Si l’information par strate est encouragée par la Cnil et le CEPD, elle ne doit cependant pas conduire l’utilisateur à multiplier les actions pour y accéder.

De plus, les titres des documents dans lesquelles se trouvent des informations pertinentes telles que les durées de conservation ne permettaient pas non plus aux personnes d’identifier le document comme pouvant contenir ces informations. La Cnil relève que le choix de titres non explicites ne satisfait pas non plus aux exigences de transparence et d’accessibilité de l’information.

Pour ce qui est d’apporter une information concise et facilement compréhensible, là encore, Google demeure un mauvais élève. En effet, l’utilisateur est noyé dans les informations qui lui sont communiquées. Il doit recouper et comparer plusieurs documents et informations afin de comprendre quelles données sont collectées. Par ailleurs, la description des finalités n’a pas été jugée assez claire, ni précise. Elle ne permet pas à l’utilisateur de comprendre réellement l’ampleur des traitements.

La transparence dans l’information fournie à l’utilisateur est essentielle car elle permettra à ce dernier de donner un consentement libre et éclairé.

Le respect des critères de validité du consentement

La CNIL reproche également à Google le défaut de clarté et de compréhensibilité concernant la base juridique des traitements de personnalisation de la publicité.

En effet, Google précisait que les utilisateurs pouvaient retirer leur consentement à tout moment, puis indiquait dans le même temps utiliser l’intérêt légitime pour mener des actions de marketing. La CNIL a donc considéré que l’information fournie par Google aux utilisateurs ne leur permettait pas de comprendre la base juridique du traitement et ne permettait donc pas à la société de recueillir un consentement libre, éclairé, spécifique et univoque.

Par ailleurs, le consentement ne pouvait pas être suffisamment éclairé puisque l’information est dispersée dans une pluralité de documents. L’utilisateur n’est donc pas en mesure de prendre réellement conscience des données qui sont traitées, et encore moins des finalités des traitements.

Il est également reproché à Google de ne pas recueillir le consentement des utilisateurs pour chaque finalité de traitement. L’utilisateur n’a en effet pas d’autre choix, au moment de la création de son compte, que d’accepter en bloc les conditions d’utilisation pour toutes les finalités poursuivies par Google, y compris les traitements relatifs à la personnalisation de la publicité.

Le principe « privacy by design »

Cette sanction illustre bien le fait qu’il est primordial, en tant que responsable de traitement, de mettre en place des mesures efficaces pour l’information des personnes ainsi que la gestion de leurs droits tels que le retrait du consentement et l’opposition au traitement. Ces modalités pratiques doivent être réfléchies en amont et testées afin de vérifier leur efficacité et donc leur conformité à la règlementation dans le cadre du « privacy by design ».

La nouvelle condamnation de Google par le TGI de Paris

Après la condamnation de Google par la CNIL, c’est au tour du Tribunal de grande instance de Paris de condamner Google à verser la somme de 30 000 euros à l’UFC-Que Choisir pour préjudice moral porté à l’intérêt collectif. L’association avait attaqué la société en 2014 en raison de plusieurs clauses abusives et illicites présentes dans les conditions d’utilisation et les règles de confidentialité de son service Google+. Le 12 février 2019, le Tribunal de grande instance de Paris a déclaré non-écrites, du fait de son caractère illicite ou abusif, de très nombreuses clauses de ses conditions d’utilisation et règles de confidentialité.

Conclusion

Que devez-vous faire en tant que responsable de traitement ?

  • Vous devez fournir une information transparente à vos utilisateurs. L’information doit être facilement accessible, claire, précise et compréhensible.
  • Si vous retenez le consentement comme base juridique de vos traitements, assurez-vous que le consentement remplisse les critères exigés.
  • Garantissez le plus haut niveau de protection des données dès la conception de votre produit ou service et testez-les.
  • Le cas échéant, vérifiez que vous remplissez bien les critères de l’établissement principal afin de déterminer l’autorité de contrôle chef de file compétente pour instruire les plaintes à votre encontre.

Sources :

Décision de la Cnil du 21 Janvier 2019: https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1
Jugement du TGI de Paris concernant la condamnation de Google :  http://data.over-blog-kiwi.com/0/93/23/69/20190213/ob_aed16c_jugement-google-inc-tgi-paris-12-fev-2.pdf
Lignes directrices du CEPD concernant la transparence : https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf
Lignes directrices du CEPD  concernant l’autorité chef de file : https://www.cnil.fr/sites/default/files/atoms/files/wp244rev01_fr.pdf

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article