CE, 19 juin 2020, n° 430810

June 29, 2020

 

Faits : En 2019, la société Google a saisi le Conseil d’Etat d’un recours dirigé contre la sanction infligée par la CNIL en raison de plusieurs manquements au Règlement Général sur la Protection des Données (RGPD) concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android.

 

Elle souhaitait ainsi voir annuler la délibération par laquelle la CNIL avait prononcé à son encontre une sanction pécuniaire de 50 000 000 euros mais également poser différentes questions préjudicielles à la CJUE ayant notamment trait à la compétence de la CNIL pour prononcer une telle sanction. La société Google estimait en effet que seule l’autorité irlandaise était compétente compte tenu de la règle du guichet unique, selon laquelle le contrôle du traitement des données revient à l’autorité du pays où le principal établissement du responsable du traitement des données est situé.

 

Solution : Le Conseil d’Etat rejette le recours de la société Google pour plusieurs raisons.

Tout d’abord, il confirme l’appréciation de la CNIL, l’organisation de la fonction de personnalisation de la publicité dans le cadre de l’utilisation du système Android ne répondant pas aux exigences de clarté et d’accessibilité requises par le RGPD. Ainsi, l’utilisateur n’est pas à même de “donner un consentement libre et éclairé au traitement de ses données aux fins de personnalisation de la publicité”.

 

Ensuite, le Conseil d’Etat a considéré que la sanction de 50 000 000 euros prononcée par la CNIL n’était pas disproportionnée, compte tenu “de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de la société Google LLC”.

Enfin, le Conseil d’Etat confirme que la CNIL était bien compétente pour prononcer la sanction. En effet, à la date de la sanction, la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur le traitement des données. Ainsi, le système du guichet unique n’était donc pas applicable.

 

Appréciation : Cette décision s’inscrit dans l’objectif de renforcement de la protection des données personnelles amorcé par le RGPD et confirme la volonté des autorités de sanctionner les opérateurs économiques ne respectant les règles de protection des données.

 

Partager sur Facebook
Partager sur Twitter
Please reload

Posts à l'affiche

Un format d’émission de télévision difficilement éligible à la protection du droit d’auteur

July 24, 2018

1/10
Please reload

Posts Récents