Le Conseil d’Etat devra dire si la Cnil est compétente pour sanctionner financièrement Google dont le siège européen est basé en Irlande. La firme de Mountain View doit payer 50 millions d’euros pour non-respect du règlement général sur la protection des données (RGPD) sur Android.

Google fait donc appel de la décision de la Cnil (1) qui lui a infligé le 21 janvier dernier une amende de 50 millions d’euros « en application du RGPD (2) pour manque de transparence, information insatis-faisante et absence de consentement valable pour la personnalisation de la publicité ». Pour autant, ce n’est pas le montant de la sanction financière – une goutte d’eau au regard des dizaines de milliards de dollars qu’engrange chaque année la firme de Mountain View (3) – qui va contester devant
le Conseil d’Etat, mais bien la compétence de la Cnil dans cette procédure.

« Cnil » irlandaise et Google Irlande à Dublin
Google, qui s’est bien gardé d’évoquer le problème dans son communiqué laconique
du 23 janvier savamment distillé auprès de quelques médias, va demander à la haute juridiction administrative d’invalider la délibération du 21 janvier – publiée au Journal Officiel du 22 janvier (4). Car, selon le géant du Net, « la Cnil n’est pas compétente pour mener cette procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité
de protection des données irlandaise » – en l’occurrence la DPC (The Data Protection Commission), basée à Dublin. C’est justement à Dublin, la capitale de l’Irlande, qu’est établie la société Google Ireland Limited, dont la directrice des affaires publiques et relations gouvernementales est Anne Rooney (photo), une Irlandaise francophone et francophile. C’est elle qui dirige Google Ireland, sous la présidence européenne de Matt Brittin (5), en charge des opérations et basé à Londres. Plus connu en France où il est installé, Carlo d’Asaro Biondo est, lui, président européen des partenariats – tous les trois sur les régions EMEA (Europe, Moyen-Orient et Afrique).
Sur son profil LinkedIn, Anne Rooney déclare : « Je suis responsable de la gestion
et de la direction des agendas produits et politiques avec les décideurs politiques externes, le gouvernement, les régulateurs et les tierces parties au nom de Google Irlande et EMEA. Je développe et dirige l’engagement en matière de politiques publiques et de réglementation dans toute la gamme des domaines stratégiques qui
ont une incidence sur Google et le Web. Les questions clés comprennent l’innovation technologique, le développement économique et la sécurité ». Sa maison mère est formelle et a eu l’occasion de l’affirmer à plusieurs reprises devant la Cnil : Google Ireland Limited doit être considérée comme son établissement principal au sein de l’Union européenne pour certains des traitements transfrontaliers qu’elle met en oeuvre, « et notamment ceux objets des plaintes reçues par la Cnil ». En conséquence, poursuit Google, la DPC devrait être considérée comme l’autorité de contrôle compétente et
« chef de file » en charge, à ce titre, de traiter les plaintes reçues par son homologue française.
Devant le Conseil d’Etat, le géant du Net ne manquera pas de rappeler – comme il
l’a exposé devant la Cnil dans ses observations écrites (des 22 novembre 2018 et 4 janvier 2019) ainsi qu’oralement le 15 janvier dernier – que son siège social pour ses opérations européennes se situe précisément en Irlande depuis 2003. Google Ireland Limited est « l’entité en charge de plusieurs fonctions organisation-nelles nécessaires
à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.) ». C’est en outre de cette société basée à Dublin que relève « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne ». Le QG européen de Google emploie plus de 3.600 salariés et, selon les affirmations de l’entreprise elle-même, dispose d’une équipe dédiée en charge de « la gestion des demandes faites
au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée ». Google a aussi précisé à la Cnil qu’une réorganisation tant opérationnelle qu’organisationnelle était en cours « en vue de
faire de la société Google Ireland Limited le responsable de traitement pour certains traitements de données à caractère personnel concernant les ressortissants
européens ».

Pour Google, la Cnil n’est pas « chef de file »
Autre argument avancé par Google : la définition d’établissement principal doit être distinguée de celle de responsable de traitement. « Si le législateur européen avait voulu que la notion d’établissement principal soit interprétée comme le lieu où les décisions concernant les traitements sont prises, il l’aurait expressément indiqué », estime la firme de Mountain View. De plus, invoquant la nature transfrontalière des traitements de personnalisation de la publicité et du nombre significatif d’utilisateurs d’Android en Europe faisant l’objet de ces traitements de données personnelles, dont probablement plus de 30 millions de mobinautes en France (6), elle considère que « les mécanismes de coopération et de cohérence tels que prévus [par le] RGPD auraient dû s’appliquer » et que « le Comité européen de la protection des données (CEPD) aurait dû être saisi en cas de doute sur la détermination de l’autorité chef de file ».

Sanctions suivantes : après Android, au tour de YouTube, Gmail et Search ?
Google s’appuie en particulier sur l’article 60 du RGPD, selon lequel l’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées en s’efforçant de parvenir à un consensus – l’autorité de contrôle chef de file et les autorités de contrôle concernées échangeant toute information utile. De plus, en
dehors de la procédure engagée par la Cnil, Google estime « sans effet juridique »
les discussions informelles qui ont pu avoir lieu entre les autres autorités européennes de contrôle sur cette procédure « dès lors qu’elles ont eu lieu sans sa présence ».
La non reconnaissance par Google de l’autorité « chef de file » que s’est arrogée la
Cnil sera ainsi au coeur des réflexions du Conseil d’Etat qui devra dire si l’autorité
– présidée par Marie-Laure Denis depuis début février – a outrepassé ou pas ses compétences territoriales et si sa sanction financière est légale ou non.
Dans son considérant n°36, le RGPD prévoit que « l’établissement principal d’un responsable du traitement dans l’Union (européenne) devrait être le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement des données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union, auquel cas cet autre établissement devrait être considéré comme étant l’établissement principal ». Google Ireland Limited à Dublin aurait dû alors être reconnu comme l’établissement principal en Europe et la « Cnil » irlandaise (DPC) comme le chef de file pour instruire la procédure sur les éléments fournis par son homologue française.
Cette dernière, en se référant aux lignes directrices du CEPD du 5 avril 2017 concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous-traitant (7), juge que la filiale irlandaise de Google ne dispose d’« un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ». La Cnil reconnaissant seulement son rôle dans les « activités financières et comptables, vente d’espaces publicitaires, passation de contrats etc ». L’amende de
50 millions d’euros porte sur le système d’exploitation des terminaux mobiles Android assorti de l’App Store Google Play, ainsi que sur l’activité de régie publicitaire. Il est reproché à Google de demander aux mobinautes Android d’accepter sa politique de confidentialité et ses conditions générales d’utilisation des services – et surtout, qu’à défaut d’une telle acceptation, les utilisateurs ne pourraient utiliser leur terminal (smartphone ou tablette sous Android).
Le géant du Net se permet en outre d’exploiter les traitements de données à caractère personnel à des fins publicitaires (analyse comportementale et ciblage). Or, pour enfoncer le clou, la Cnil révèle un courrier en date du 3 décembre 2018 adressé à la DPC à Dublin pour lui annoncer « que le transfert de responsabilité de Google LLC
vers la société Google Ireland Limited sur certains traitements de données à caractère personnel concernant les ressortissants européens serait finalisé le 31 janvier 2019 ». Par ailleurs, Google vient de procéder à la mise à jour de ses règles de confidentialité qui sont entrées en application le 22 janvier 2019 – soit le lendemain de sa mise à l’amende par la Cnil ! La Quadrature du Net, association française de défense des droits et libertés numériques, qui fut avec l’association autrichienne NOYB (None Of Your Business, « ce n’est pas tes affaires ») à l’origine des plaintes contre Google, dénonce cette manoeuvre qu’elle estime grossière et appelle la Cnil à continuer à sanctionner au-delà d’Android. « Nous attendons de la Cnil qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre YouTube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise ».

Europe : 95.000 plaintes en 8 mois, c’est peu
Le bras de fer entre Google et la Cnil devant le Conseil d’Etat intervient au moment
où la Commission européenne a annoncé le 25 janvier – Journée de la protection des données – qu’au cours des huit mois depuis l’entrée en vigueur du RGPD (le 25 mai 2018), « les autorités nationales de protection des données ont reçu plus de 95.000 plaintes de citoyens à ce jour », dont 255 font l’objet d’une enquête de la part des
« Cnil » (8). Objectivement, c’est très peu au regard des quelques centaines de millions d’Européens connectés à Internet et détenteurs de smartphones. @

Charles de Laubier