Pour comprendre tout l’intérêt de la décision du Conseil d’État confirmant une amende record en Europe de 50 millions d’euros à l’encontre du géant Google, il faut se replonger dans un contexte juridique et technologique conflictuel qui remonte aux années 1990.
Une lutte de longue haleine oppose en effet depuis plusieurs décennies l’Union européenne (UE) et ses membres nationaux aux géants de l’informatique américains. Autrefois contre Microsoft, désormais contre Google, le combat se poursuit avec en toile de fond l’hégémonie de l’espace informationnel. Les enquêtes et les procès masquent surtout l’absence de colosse européen dans le domaine et la trop longue compréhension du rôle stratégique des données dans l’écosystème numérique contemporain. Dans une tentative de reprendre la main, l’UE a élaboré en 2016 un texte contraignant qui vise prioritairement les GAFA.
Le mécanisme du RGPD
Lancé à grand renfort de publicité, le règlement général sur la protection des données (RGPD) est effectif au sein des États membres de l’Union européenne depuis le 25 mai 2018. Initialement, ce corps de règles vise à protéger les données des citoyens des 28 pays européens par l’encadrement de la collecte, du traitement et de l’utilisation commerciale de celles-ci (ainsi que diverses dispositions sur la sécurité des systèmes d’information ou la tenue d’un registre).
Il renforce aussi la capacité des instances nationales chargées de superviser la conformité par les acteurs publics et privés au texte de loi en recourant, si nécessaire, à de lourdes sanctions forfaitaires ou indexées sur le chiffre d’affaires. Ce qu’elles ont initié sur-le-champ, à l’instar la CNIL française (Commission nationale informatique et libertés) en mai 2018 à l’encontre de Google, et ce sitôt le texte applicable en relevant que les données recueillies par le système d’exploitation Android (propriété de Google) ne respectaient pas le libre consentement des utilisateurs et manquaient singulièrement de clarté.
L’autorité administrative a constaté avec sévérité des lacunes et des manquements justifiant une amende de 50 millions d’euros, à la hauteur de la puissance économique fondée sur ces ambiguïtés.
«Concrètement, la formation restreinte relève que les informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard.»
En effet, les finalités présentées dans les différents documents sont ainsi décrites: proposer des services personnalisés en matière de contenu et d’annonces, assurer la sécurité des produits et services, fournir et développer des services, etc. Elles sont trop génériques au regard de la portée des traitements mis en œuvre et de leurs conséquences.
La formation restreinte relève, par suite, que la description des finalités poursuivies ne permet pas aux utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée qu’ils sont susceptibles d’emporter. Elle estime, en particulier, qu’une telle information n’est pas apportée de manière claire, ni au premier niveau d’information fourni aux utilisateurs par le biais, en l’espèce, du document intitulé Règles de confidentialité et conditions d’utilisation, ni dans les autres niveaux d’information proposés par la société.
Bien évidemment, le service juridique de la firme de Mountain View s’est empressé de soulever plusieurs points de la décision pour constater l’irrégularité de celle-ci (sous forme de vices de procédure). D’où le dépôt d’une requête auprès du Conseil d’État qui s’est penché sur le dossier le 19 juin 2020.
Las, au désespoir de la société américaine, le Conseil d’État s’est fendu d’un arrêt aux termes parfois cinglants, comme l’énonce le passage suivant:
«Il apparaît ainsi que l’information sur la portée du traitement aux fins de ‘ciblage publicitaire’ fournie au premier niveau est, au regard des exigences de clarté et d’accessibilité rappelées ci-dessus, insuffisante. Faute d’information préalable suffisante, le consentement recueilli de manière globale pour l’ensemble des finalités, y compris celle-ci, ne peut être regardé comme éclairé ni, par voie de conséquence et en tout état de cause, comme valide.
Si une information complémentaire sur la finalité de ciblage publicitaire est fournie au deuxième niveau (en cliquant sur ‘Plus d’options’) et qu’un consentement propre à cette finalité est alors recueilli, il apparaît que cette information est elle-même insuffisante eu égard à la portée du traitement. S’y ajoute enfin le fait que le consentement est recueilli au moyen d’une case précochée.»
La CNIL remporte une victoire
En clair: la haute juridiction française reproche au géant numérique américain d’être trop flou dans ses explications relatives à l’emploi des données et peu transparent sur le devenir de celles-ci, tout en forçant la main de l’utilisateur pour valider tout en bloc.
En conséquence de quoi, les magistrats ont énoncé un verdict implacable, qui sous le phrasé policé de l’administration, n’en laisse pas moins paraître une très forte détermination:
«Il résulte de ce qui précède qu’eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l’article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50.000.000 euros prononcée à l’encontre de la société Google ne revêt pas un caractère disproportionné.»
50 millions d’euros peuvent en effet être une somme considérée comme délirante par le citoyen lambda, mais rappelons utilement qu’Alphabet (le groupe dont dépend Google), c’est 161 milliards de dollars de revenus pour 2018 (année fiscale sur laquelle se base la CNIL pour le prononcé de sa décision). Il n’empêche que cette somme est, à ce jour de publication, la plus élevée en Europe à l’encontre d’un acteur du numérique pour manquement aux règles de protection sur les données. Du reste, la CNIL a souhaité frapper fort dès le départ afin d’envoyer un signal clair à toutes les autres structures faisant négoce du marché de la donnée. Incidemment, le Conseil d’État a joué la souplesse pour laisser à la CNIL sa capacité de sanction en lieu et place de son homologue irlandaise, la Data Protection Commission d’Irlande où est située la filiale européenne de Google. Elle a ainsi tranché sur la délicate problématique de l’autorité du chef de file pour les traitements informatisés transfrontaliers.
Reste que la CJUE (Cour de justice de l’Union européenne) est bien plus timorée pour condamner et faire strictement respecter le droit européen, ainsi que l’atteste sa double décision de septembre 2019 se refusant à faire appliquer le droit à l’oubli hors des territoires des États membres. Or, il est fortement probable que Google fasse appel de la décision auprès de cette instance supranationale afin d’infléchir ou d’effacer pareil camouflet. Car derrière cette décision, c’est bel et bien la toute-puissance des géants du numérique qui se profile visant à déposséder les États d’une manne dont, cécité coupable lors de la démocratisation d’Internet, ils n’ont pas perçu toute la quintessence stratégique: les données.