Accueil Confidentialité des données Google à l’amende : pourquoi la Cnil, et pas l’autorité de protection...

Google à l’amende : pourquoi la Cnil, et pas l’autorité de protection des données irlandaise ?

Pourquoi est-ce l’autorité française de contrôle qui a sanctionné Google et pas celle en Irlande, alors que Google a son siège européen dans ce pays ? Eléments de réponse.

Le RGPD a posé un nouveau cadre de coopération de contrôle entre les différentes autorités européennes lorsqu’une entreprise collecte des données dans plusieurs pays de l’Europe. C’est la Cnil de l’État dans l’Union européenne  où l’entreprise a le « centre de ses activités » qui est alors désignée « autorité chef de file » et construit l’instruction. Dans le cas de Google, la Cnil a estimé que la société n’avait pas « d’établissement principal » au sein de l’Union, mais agissait principalement depuis l’étranger. Elle s’est déclarée apte à la contrôler, comme elle l’indiquait lors de la communication de sa sanction le 21 janvier : «(…) les échanges avec les autres autorités, notamment l’autorité de protection irlandaise où se situe le siège européen de Google, n’ont pas permis de considérer que Google disposait d’un établissement principal dans l’Union européenne. En effet, à la date à laquelle la Cnil a entrepris ses poursuites, l’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google LLC en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile. »

Juliette Chavane de Dalmassy, avocate au cabinet Cornet Vincent Segurel, membre du réseau EUROJURIS France, précise: « A la date à laquelle la Cnil a entrepris ses poursuites, elle a considéré que le siège de Google, situé en Irlande, ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google LLC ce qui a permis à la Cnil de se considérer comme compétente, en l’absence d’établissement stable dans l’Union Européenne et en application du principe du Guichet Unique ».

Le 22 janvier, Google change ses règles

La sanction est tombée le lundi 21 janvier, alors que Google avait annoncé en décembre établir l’entreprise comme étant située en Irlande à partir du mardi 22 janvier. Dans un post daté du 12 décembre 2018 (https://www.blog.google/around-the-globe/google-europe/some-changes-our-service-model-europe/), Anne Rooney,
Public Policy Manager, Google Ireland, indiquait en effet que l’Irlande, le siège social européen de Google, deviendrait le fournisseur de services (« service provider ») responsable de la plupart de ses services, de Search à Gmail et Maps et plus (« from Search to Gmail to Maps and beyond ») ainsi que le contrôleur des données (« data controller ») légal, devenant ainsi le pays responsable pour l’Europe des demandes des utilisateurs et de la conformité (« compliance ») avec les lois sur la vie privée (« privacy laws »), incluant le RGPD. « Ces modifications seront reflétées dans les mises à jour de nos conditions d’utilisation et de notre politique de confidentialité que vous pouvez lire maintenant, mais cela entrera en vigueur le 22 janvier 2019 », précisait Anne Rooney au début de son post.

Pour La Quadrature du Net, une tentative de fuite en Irlande de Google 

L’association La Quadrature du Net, porteuse d’une des deux plaintes collectives à l’origine de l’enquête de la Cnil, voit un tour de passe-passe de Google pour échapper aux sanctions: « Google a récemment modifié ses conditions d’utilisation. Celles-ci prétendent, à partir du 22 janvier, établir l’entreprise comme étant située en Irlande dans l’espoir d’empêcher la CNIL française de rendre des décisions telle que celle d’aujourd’hui (du lundi 21 janvier, NDLR) ». L’association précise : « L’autorité irlandaise étant en sous-effectif et débordée de plaintes, Google peut espérer y faire traîner sa procédure pendant des années. » Avant de conclure : « Nous attendons de la Cnil qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre Youtube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise.»
La Cnil s’est-elle dépêchée d’enquêter et d’annoncer sa sanction avant ces nouvelles dispositions ? En tout cas, pour l’association, la décision de la Cnil « vient couper court à la tentative de fuite en Irlande de Google. »

Google, qui a décidé de faire appel et va saisir le Conseil d’Etat, peut-il invoquer ses nouvelles dispositions pour contester la décision de l’Autorité  ? Différents points de droit « peuvent faire l’objet d’une contestation par la société Google en particulier la compétence de la Cnil au détriment de l’autorité de protection des données irlandaise », dit Juliette Chavane de Dalmassy. L’avocate précise : « En principe, le délai de recours contre une décision de la CNIL est de deux mois à compter de sa publication ou de sa notification, dans le cas Google, sans référence à un article spécifique la Cnil mentionne que « Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de quatre mois à compter de sa notification. » » Et d’ajouter : « Le fait de contester la décision ne lui permettra pas de se soustraire au paiement de l’amende administrative. »