Ce 21 Janvier 2019 pourrait être une date mémorable dans la lutte pour la protection des données personnelles des utilisateurs des services informatiques fournis notamment par de grandes sociétés internationales.
En effet, la CNIL française vient de condamner la société GOOGLE LLC - active sur le territoire - à une amende de 50 millions d’Euros correspondant à 4% de son chiffre d’affaires local. (voir ci-dessous)
En pratique, la CNIL a constaté des “manquements” portant sur la personnalisation de la publicité adressée aux utilisateurs via GOOGLE. Ces manquements concernent "le manque de transparence, l’information insatisfaisante et l’absence de consentement valable”.
La CNIL avait été saisie de deux plaintes collectives par deux associations ayant regroupé plus de 10.000 plaintes individuelles.
Cette décision sera abondamment commentée par la presse française et européenne comme étant la première du genre et portant sur un des “géants” internationaux de services informatiques.
Nous voudrions ici nous limiter à l’aspect institutionnel d’une affaire qui peut être présentée comme un cas d’école de "success story” tant de la part des législateurs européen et national que de l’autorité nationale de contrôle de la législation.
Ce succès peut être apprécié en rappelant la simple chronologie des faits :
le 27 Avril 2016, l’ UE a adopté le fameux RGPD (“Règlement Général sur la Protection des Données) après une intense négociation entre le Conseil et le Parlement européen, ce dernier ayant considérablement renforcé l’aspect “protecteur” du Règlement,
ce Règlement était applicable à partir du 25 Mai 2018,
le 20 Mai 2018 (soit 5 jours avant le délai imparti) le Parlement français a adopté une loi de transposition du RGPD (1),
le 25 Mai 2018, les deux associations concernées ont déposé leurs plaintes (préparées bien à l’avance) auprès de la CNIL,
le 1 Juin 2018, la CNIL a démarré son enquête (2) et effectué un contrôle en ligne de grande ampleur en Septembre 2018,
le 22 Octobre 2018, le rapporteur de la CNIL a soumis ses conclusions à la formation interne compétente,
le 21 Janvier 2019, la CNIL a adopté sa décision de sanction .
Au total, un délai de 8 mois seulement a séparé les dates d’entrée en vigueur du Règlement européen de la première sanction adoptée sur cette base par une autorité nationale de contrôle - et ce dans un domaine d’une extrême complexité technique et dans une affaire impliquant une puissante société multinationale.
Même si cette affaire n'est pas terminée sur le plan juridictionnel (3) et si elle est loin de régler l’ensemble des problèmes liés à la protection des données, elle valait la peine d’être citée en exemple de ce que peut accomplir l’UE - avec la collaboration des États membres - pour la protection des intérêts des citoyens dans un domaine prenant une importance accrue dans leur vie quotidienne.
Exemple à diffuser sans modération - éventuellement via Google …;)
Jean-Guy Giraud 21 - 01 - 2019
(1) en l’occurence, le Règlement européen était d’application directe et ne nécessitait pas, pour entrer en vigueur, d’acte national de transposition. Toutefois, le Gouvernement a estimé utile de faire adopter une loi “d’application” en vue de "ré-ordonner” le droit national applicable et de renforcer certains éléments du Règlement (comme l’y autorise le droit européen).
(2) enquête menée en collaboration avec les instances de contrôle d’autres États membres (notamment d’Irlande …) comme l’exige le RGPP.
(3) elle peut faire l’objet d’un recours devant le Conseil d’État (dans les 4 mois) voire d’une action ultérieure devant la Cour de Justice européenne.