
Publication
Focus on energy storage
The energy storage industry is not a completely new industry and there have been short lived booms before.
Mondial | Publication | janvier 2019
Google LLC condamnée à une amende de 50 millions d'euros pour infraction à ses obligations en matière de transparence et de consentement relatives à l’utilisation de données personnelles dans le cadre de publicités personnalisées
Le 21 janvier 2019, la Commission Nationale de l'Informatique et des Libertés (CNIL) a infligé une amende conséquente à l'entité américaine de Google, Google LLC. Cette sanction fait suite aux plaintes déposées dès l'entrée en vigueur du Règlement (UE) 2016/679 sur la protection des données (RGPD) par deux associations de défense des droits des consommateurs, None of Your Business et La Quadrature du Net.
Nous nous concentrons ici sur quatre aspects clés de la décision : a) pourquoi la Commission irlandaise de protection des données (Irish Data Protection Commission - DPC) n'a pas traité l'affaire ; b) les manquements relatifs au mécanisme de consentement mis en place ; c) les manquements relatifs à la politique de confidentialité ; et d) le montant de l'amende.
Google a fait valoir que la DPC irlandaise aurait dû traiter les plaintes qui ont mené à cette décision.
La CNIL :
Notre point de vue
Il est conseillé aux responsables de traitement de revoir les décisions prises en matière d’autorité chef de file, en se rapportant aux lignes directrices du groupe de travail de l'article 291 . Il est possible qu'il y ait différentes autorités chefs de file pour différentes activités de traitement au sein d'une même entité ou d’un même groupe, ce qui peut rendre la tâche complexe.
Si le traitement est contrôlé en dehors de l'UE, il est nécessaire de désigner un représentant au sein de l’UE (ce qui permet de notifier les violations de données personnelles uniquement à l’autorité située dans l'État membre du représentant). Une position claire à ce sujet est essentielle pour la notification des violations, étant donné que la décision quant à l’autorité à laquelle notifier (voire parfois, les autorités auxquelles notifier) doit être prise dans les 72 heures.
Manquements relatifs au mécanisme de consentement mis en place
Lors de la configuration d'un appareil Android, l'utilisateur est invité à créer ou à se connecter à un compte Google. Pour éviter de créer un compte, l'utilisateur doit cliquer sur "Ignorer", puis est informé des avantages à utiliser un compte Google avec l'appareil Android avant de pouvoir continuer.
Le processus de création du compte exige que l'utilisateur accepte les « Règles de confidentialité et conditions d’utilisation » de Google. Le processus exige que l'utilisateur fasse défiler un bref résumé du traitement avec un lien "Plus d'options" vers une autre page, qui donne aux utilisateurs la possibilité de désactiver plusieurs opérations de traitement, y compris à des fins de personnalisation des annonces, par le biais de cases à cocher. La case à cocher pour la personnalisation des annonces est pré-cochée.
Une fois que l'utilisateur a accepté les « Règles de confidentialité et conditions d’utilisation », il reçoit un message électronique l'informant qu'il a le contrôle de ses paramètres de confidentialité et qu'il peut les modifier à tout moment et créer des rappels pour se souvenir de vérifier ces paramètres. Si l'utilisateur n'a pas modifié la case à cocher de personnalisation des annonces, une fenêtre pop-up s’affiche pour rappeler que le compte est configuré pour inclure des fonctionnalités de personnalisation.
La CNIL a refusé de reconnaître que ce mécanisme permet un consentement spécifique et univoque pour les raisons suivantes :
Notre point de vue
La position de la CNIL sur le consentement fait écho à la décision Vectaury dans laquelle elle donnait les mêmes arguments relatifs à la collecte du consentement, et aux cases pré-cochées. Si les méthodes de collecte de consentement pour le marketing par message électronique sont maintenant généralement conformes à ces exigences, la position est toutefois moins claire dans le domaine de la technologie publicitaire (« ad tech »), où il est courant de prévoir un consentement groupé à différentes finalités, par le biais d’un seul bouton "J'accepte".
Depuis l'entrée en vigueur du RGPD, la CNIL a adressé cinq mises en demeure à des entreprises de l’ad tech concernant leurs mécanismes de collecte de consentement. Ces sociétés et les éditeurs devraient donc à présent évaluer si d’éventuels changements sont nécessaires.
La documentation Google relative à la protection de la vie privée doit couvrir un grand nombre de produits et d'usages de données et les efforts de la société pour rendre cette documentation digeste et accessible n'ont pas été jugés satisfaisants par la CNIL.
Cette dernière estime que les traitements de Google sont "particulièrement massifs et intrusifs" et susceptibles de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes, ce qui exige que sa politique de confidentialité soit particulièrement claire et intelligible
La CNIL a constaté les manquements suivants :
Notre point de vue
Il devrait être plus facile d'éviter de tels manquements pour les responsables du traitement dont les pratiques de collecte des données sont moins étendues et moins complexes.
Il convient de veiller (en rendant les politiques plus compréhensibles pour les consommateurs) à ce que les principales rubriques d'une politique de protection de la vie privée classique restent reconnaissables dans l'aperçu ou le résumé.
Les responsables de traitement qui utilisent la superposition des couches d’informations devraient envisager d'avoir un lien vers un document linéaire contenant l'ensemble de la politique de protection de la vie privée afin qu'il soit plus facile pour les organismes de réglementation de vérifier les points dont ils exigent qu’ils soient fournis.
Ne tentez pas d’obtenir l'accord des utilisateurs à la politique de confidentialité dans le but d'obtenir un consentement généralisé à tous les traitements. Veillez plutôt à ce que seuls les aspects du traitement nécessitant un consentement soient couverts par la clause de consentement.
La période de grâce (si elle existait) pour insérer les durées de conservation dans les politiques de confidentialité semble être terminée, et les responsables de traitement doivent maintenant envisager de détailler cette section dans leurs politiques
Une amende de 50 millions d'euros est une amende massive au regard des normes de l'UE. La CNIL a expliqué ce montant par les raisons suivantes :
Notre point de vue
L'amende ne concernant que les traitements français, reste à savoir si d'autres DPA chercheront à imposer des amendes pour leur territoire.
Aucune indication n'est donnée sur la manière dont l'amende a été calculée, ni sur l'importance de chacun des facteurs cités. Le jugement d'appel pourrait faire la lumière sur ces points2 .
Compte tenu de l’historique de la relation entre la CNIL et Google en ce qui concerne sa politique de protection de la vie privée et l'étendue de ses activités de traitement, cette amende ne signifie pas nécessairement que les amendes infligées aux petits acteurs augmenteront en fonction de facteurs similaires. Toutefois cette première "méga" amende RGPD représente une nouvelle référence pour les violations flagrantes ou massives.
Enfin, il semblerait que toute période non officielle d’amnistie quant à la mise en œuvre des dispositions du RGPD ait pris fin
Vous trouverez le communiqué de presse de la CNIL sur la décision ici et la décision complète ici.
Nous vous invitons à suivre nos articles sur cette affaire et plus largement, les actualités en matière de protection des données et cybersécurité sur notre blog www.dataprotectionreport.com
Publication
The energy storage industry is not a completely new industry and there have been short lived booms before.
Subscribe and stay up to date with the latest legal news, information and events...
© Norton Rose Fulbright LLP 2020