RGPD : Premières plaintes déposées auprès de la CNIL

Quelques heures seulement après l’entrée en application du Règlement sur la protection des données personnelles (RGPD), la CNIL recevait déjà des plaintes à l’encontre de plusieurs acteurs de l’Internet pour consentement forcé et traitement illicite.

La première salve a été tirée dans la nuit du 24 au 25 mai par le Centre européen des droits numériques (connu sous le nom de « noyb » pour « none of your business ») fondé par Max Schrems, qui a déposé quatre plaintes contre Google (Android), Instagram, WhatsApp et Facebook, respectivement auprès de la CNIL, de la DPA (Belgique), du HmbBfDI (Hambourg) et du DSB (Autriche).

En France, la plainte dirigée contre Google lui reproche de ne pas obtenir un consentement libre, et donc valide, des utilisateurs d’Android. À cet effet, noyb invoque plusieurs arguments principaux :

• Il existe un déséquilibre manifeste entre Google et les utilisateurs : Google occupant une position dominante sur le marché des systèmes d’exploitation de smartphones et bénéficiant ainsi de l’effet des écosystèmes, les utilisateurs n’ont aucun autre choix réaliste que de consentir à sa politique de confidentialité et ses CGU.

• Le consentement est conditionné : la fourniture des services est subordonnée au consentement de l’utilisateur au traitement de ses données, alors que celui-ci n’est pas nécessaire à la fourniture de ces services.

• Le consentement manque de granularité : Google exige des utilisateurs qu’ils consentent à sa politique de confidentialité et ses CGU dans leur ensemble, couvrant tous les services offerts par Google (YouTube, Google Search, Gmail, etc.), et ce sans liberté de choix de l’utilisateur.

• Si l’utilisateur ne consent pas, il ne pourra utiliser les services Google, ce qui le priverait d’une forme cruciale d’interaction sociale : son smartphone.

Sur cette base, noyb demande à la CNIL de diligenter une enquête sur les pratiques de Google, d’interdire les traitements concernés et de condamner Google à une amende administrative exemplaire et dissuasive.

Si la CNIL donne suite, Google risque une amende maximum de 3,79 milliards d’euros (4 % du CA mondial d’Alphabet Group). Facebook, WhatsApp et Instagram risquent quant à elles des amendes de 1,3 milliard d’euros chacune. Il existe toutefois des incertitudes sur l’assiette à prendre en compte pour le calcul de l’amende : le « CA mondial » s’entend-il au niveau du groupe ou de l’entité concernée ? Espérons que les autorités apportent une clarification sur ce point.

Un autre intérêt de ces plaintes réside dans le fait qu’elles résonnent avec l’article 28 de la loi du 20 juin 2018 qui requiert que « lorsque le traitement repose sur le consentement de la personne concernée, le responsable de traitement doit être en mesure de démontrer que les contrats qu’il conclut portant sur des équipements ou services incluant le traitement de données à caractère personnel ne font pas obstacle au consentement de l’utilisateur final » et notamment à leur liberté d’accéder aux applications et aux services de leur choix sur leur équipement. Cette disposition vise tout particulièrement le cas des smartphones comme le précisent les travaux parlementaires. Noyb annonce déjà son intention de déposer d’autres plaintes pour consentement fictif et utilisation illicite des données à des fins publicitaires. Dans la même veine, la Quadrature du Net a déjà déposé cinq plaintes collectives pour absence de consentement libre et explicite et a également annoncé son intention d’en déposer d’autres. Les prochains mois promettent donc d’être riches en rebondissements dans le monde de la protection des données personnelles.