Our Voices

I don’t know what I consented to!

Google Faces Significant Monetary Fines from French Regulator for GDPR Violations

by Kristie Blase and Philippe Pradal

Pour lire cet article en français, faites défiler ou cliquez ici [ Link ]

In late January 2019, the French Commission Nationale de l'Informatique et des Libertés (CNIL) (in English, the National Data Protection Commission) imposed a significant financial penalty of 50M € ($57M) against Google for violations of the General Data Protection Regulation (GDPR) of the European Union. The CNIL found that Google's knowing and continuing violations of the transparency, accessibility, and consent obligations in the GDPR justified a large fine. The order offers guidance to established and emerging companies on how the GDPR is being interpreted and enforced in Europe, and can provide guidance to companies on how other jurisdictions' privacy laws (for example, California's new law) may be interpreted.

Inaccessible and insufficient information

CNIL found that Google was essentially hiding its purposes and information, creating a maze through which users had to navigate to find out the basic information required by the GDPR. Users cannot easily find basic information, such as data processing purposes, data storage periods, or categories of collected information. Without access to all the required information in one place, users are unable to fully understand the extent of what Google is doing with their data.

CNIL found that requiring users to click through multiple documents, sometimes five or six, to obtain basic information, and then compile everything on their own, was a violation of the GDPR. In addition, CNIL found another violation of the GDPR because the ways that users' data can be combined are limitless and can be accomplished without a user ever knowing or understanding those combinations. Google also violated the GDPR through its overbroad categories for describing the data Google collects and the data storage periods.

No valid or affirmative consent

More troubling, CNIL found that the "consent" Google obtained from its users was invalid – it wasn't the "genuine consent" the GDPR requires. First, CNIL found that users were not informed enough to consent, as a result of the maze that users must navigate to learn what data Google is collecting and how Google is using it. Piggybacking off its previous finding, CNIL reasoned that uninformed consent is no consent.

Second, CNIL found that the user consent supposedly obtained was neither "specific" nor "unambiguous" for several reasons, most importantly that the box consenting to personalized ads/experiences is pre-checked, so the user is not affirmatively consenting, and the only affirmative box-checking required by the user, which are agreeing to terms of service and that Google will process the user's data, are not specific to Google's actual uses of data.

Other regulators, including the antitrust regulator in Germany, are investigating large data collectors over their practices. In a February 7, 2019 decision, the German Federal Cartel Office (the Bundeskartellamt) ordered Facebook to give users the opportunity to consent before the company merges data obtained from other platforms into their Facebook accounts. This echoes CNIL's concerns about the limitless possible combinations or aggregations of users' data without their understanding or consent.

Maybe it's not a lot for Google, but for other companies, 50M € hurts!

CNIL justified its financial penalty against Google because it has deprived users of fundamental rights that allow users to decide how their data are used, the problems extend to more than 20 different services that Google offers users, and Google combines data across applications or services, multiplying the violations of users' rights. In addition, CNIL noted that Google's violations are continuing and part of its general approach to doing business – not isolated instances that were corrected once identified by the regulator.

Objectively speaking, 50M € is a pretty big fine, but it could have been more. The GDPR allows a fine up to 4% of a company's global annual revenue. The public nature of the sanction also indicates that CNIL is demonstrating to the market that it is watching and investigating, and it will impose sanctions on other companies when they fail to comply with the GDPR.

One more word of caution: Don't forget that if you use data collected by another entity, you are jointly liable under the GDPR with the collecting entity if the personal data was obtained in violation of the GDPR. This joint liability could have far-reaching effects, as many companies use Google's services and data that Google and others collect.

What next?

Companies large and small, for profit or not, should engage privacy counsel now, not sometime in the future. Working with counsel, companies should make sure that they aren't making the same mistakes that Google made. (Google will undoubtedly appeal this decision and penalty, but its financial ability to challenge this should not dictate the actions of other, smaller companies.) Here are a few things to get you started.

  • Make sure that visitors to your website can easily access your terms and conditions and privacy policy. These should not be hidden, and visitors shouldn't have to click through multiple documents to understand everything.

  • Make sure that the categories of information that you collect accurately reflect the information you collect. Vague and ambiguous categories are not your friends.

  • Make sure that anytime you are collecting someone's data, that person is affirmatively opting into that use – for example, affirmatively checking a box before the data is collected – not just agreeing to a panoply of terms and conditions.

  • Work with counsel to conduct a GDPR audit to map your compliance risk and vulnerabilities.

  • Consider if you need – and set up if you do – a real privacy compliance function by designating an (internal or external) data protection officer.

CKR stands ready to assist you. You can reach out to the authors, your regular CKR attorney, or a member of our privacy team below.

Privacy Team

New York

Kristie Blase, +1 212 259 7308, kblase@ckrlaw.com

Laurel Grass, +1 212 259 8202, lgrass@ckrlaw.com

Siddartha Rao, +1 212 259 8214, srao@ckrlaw.com

California

Anna Park, +1 424 382 1831, apark@ckrlaw.com

James Snyder, +1 415 627 7264, jsnyder@ckrlaw.com

France

François Ameli, +33 (0)1 81 80 10 80, fameli@ckrlaw.com

 

____________________________________________________________________________________________

Je ne sais pas à quoi j'ai consenti!

Google s'expose à des sanctions monétaires de la part du régulateur français pour les violations du RGPD

par Kristie BLASE et Philippe PRADAL

Le 21 janvier 2019, la Commission nationale de l'informatique et des libertés (CNIL) a imposé à Google une sanction importante de 50 millions d'euros (57 millions de dollars) pour des violations de la Règlement de la protection générale des données (RGPD) de l'Union européenne. La CNIL a considéré que les violations persistantes, et en toute connaissance de cause, par Google de ses obligations en matière de transparence, d’accessibilité et de consentement énoncées dans le RPGD justifiaient une lourde sanction. La décision éclaire les entreprises établies et émergentes sur la manière dont la CNIL pourrait interpréter le RGPD à l’avenir et permet d’entrevoir de nouvelles applications en Europe, outre l’interprétation qui pourraient être donnée des lois en matière de protection de la vie privée d’autres pays (notamment la nouvelle loi californienne).

Informations inaccessibles et insuffisantes

La CNIL décide que Google « cache » essentiellement ses objectifs et ses informations, créant une sorte de labyrinthe dans lequel les utilisateurs doivent naviguer pour trouver les informations de base requises par le RGPD. Les utilisateurs ne peuvent pas trouver celles-ci avec facilité. La CNIL parle d’informations concernant la finalité de traitement de données, les périodes de stockage de celles-ci ou les catégories d'informations collectées. Sans accès à toutes les informations exigées en un seul endroit, les utilisateurs ne peuvent pas bien comprendre l'étendue de l'utilisation faite de leurs données par Google.

La CNIL considère que le fait d’obliger les utilisateurs à cliquer sur plusieurs documents – parfois cinq ou six – pour obtenir des informations de base, à combiner soit même, constituait une violation du RGPD.  Aussi, c’était une violation du RGPD dans la mesure où les combinaisons peuvent être illimitées sans que l’utilisateur ait conscience de la totalité des informations croisées ainsi recueillies par Google. Google a également enfreint le RGPD en décrivant les données collectées par Google et les périodes de stockage de données.

Absence de consentement valable et d’ « acte positif »

Plus troublant encore, la CNIL décide que le « consentement » que Google prétend avoir obtenu de ses utilisateurs n’était pas valable. Il ne s’agit pas du « consentement authentique » exigé par le RGPD. Tout d'abord, la CNIL a constaté que les utilisateurs n'étaient pas suffisamment informés pour donner un consentement éclairé, en raison du labyrinthe dans lequel ils doivent s’engager pour savoir quelles données sont collectées et comment elles sont utilisées. Reprenant ses conclusions précédentes, la CNIL a soutenu qu'un consentement non éclairé ne constitue pas un consentement.

Deuxièmement, la CNIL a prononcé que le consentement de l'utilisateur supposé obtenu n'était ni « spécifique » ni « non équivoque » pour plusieurs raisons. La vérification de la boîte affirmative requise par l'utilisateur, qui n’accepte que les conditions d'utilisation et que le traitement par Google des données de l'utilisateur, n'est pas spécifique à ses utilisations réelles.

 

D'autres régulateurs, y compris le régulateur allemand de la concurrence, enquêtent sur les pratiques des collecteurs de données de taille importante. Dans une décision du 7 février 2019, l'Office fédéral allemand des cartels (le Bundeskartellamt) a ordonné à Facebook de permettre aux utilisateurs de donner leur consentement avant que l'entreprise ne fusionne avec les données des comptes Facebook celles obtenues auprès d'autres plateformes. C’est le même souci qu'exprime la CNIL lorsqu’elle évoque des "combinaisons illimitées" sans que l’utilisateur ait conscience de la totalité des informations croisées ou consente à une telle utilisation.   

Ce n’est peut-être pas beaucoup pour Google, mais pour d’autres entreprises, 50M cela commence à compter !

La CNIL a justifié la sanction financière prononcée à l’encontre de Google par la circonstance que les agissements de l’entreprise sont de nature à priver les utilisateurs de leur droit fondamental consistant à pouvoir décider de la manière dont leurs données personnelles sont utilisées, constatant notamment que  les problèmes rencontrés s’étendent à plus de 20 services proposés par Google à ses utilisateurs, et qu’au surplus ces données sont combinées à travers des applications ou des services. En outre, la CNIL a noté que les violations constatées sont persistantes et constituent même une partie de l’approche générale des affaires conçue par Google, et qu’elles ne sont ainsi pas de cas isolés qui auraient été corrigées une fois identifiées par le régulateur.

Dans ce contexte, objectivement, 50 millions d’euros est une très forte amende, mais cela aurait pu être encore plus fort. Le RGPD autorise, en effet, une amende pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial global de l’entreprise en infraction des dispositions du RGPD. Le fait d’avoir rendu publique sa décision montre également la volonté de la CNIL de faire savoir au marché qu'elle surveille et enquête et qu'elle imposera des sanctions à d'autres sociétés qui ne se conforment pas au RGPD.

Comment anticiper l’avenir  ?

Les entreprises, quelles soient de petite ou grande taille, qu’elles soient à but lucratif ou non, qu’elles aient leur centre permanent des affaires en Europe ou pas, à partir du moment où leur site est visible en Europe, doivent passer à l’action maintenant.  En travaillant avec un Conseil en matière de protection de la vie privée et des données personnelles, les entreprises doivent s’assurer qu’elles ne commettent pas les mêmes erreurs que Google. Google fera certainement appel de cette décision pour remettre en cause l’amende prononcée, mais d’autres entreprises peuvent ne pas avoir les mêmes capacités financières.

Rappelons également que le GRPD instaure une solidarité entre collecteur et utilisateurs des données personnelles collectées illégalement. Il est donc fondamental de savoir comment vos partenaires collectent les données qu’ils vous confient.

Voici quelques éléments pour vous aider à démarrer.

  • Assurez-vous que les visiteurs de votre site Web peuvent facilement accéder à vos conditions d'utilisation et politique de confidentialité. Ceux-ci ne doivent pas être “cachés” et les visiteurs ne doivent pas avoir à cliquer sur plusieurs documents pour tout comprendre. 
  • Assurez-vous que les catégories d'informations que vous collectez reflètent avec précision les informations que vous collectez. Les catégories vagues ou ambiguës ne sont pas admises.
  • Assurez-vous que chaque fois que vous collectez des données, l’utilisateur consent par un acte positif à cette utilisation – par exemple, en cochant une case avant la collecte des données, ce qui constituerait un acte positif – et non en acceptant une panoplie de conditions.
  • Assurez-vous de procéder à une identification de votre risque réglementaire au regard du RGPD en identifiant vos zones de vulnérabilité, au moyen d’un audit.
  • Mettez en place le cas échéant une vrai fonction conformité au sein de votre entreprise à travers notamment la mise en place d’un délégué à la protection des données personnelles (interne ou externe).

L’équipe protection de la vie privée et des données personnelles de CKR LAW est là pour vous aider. Vous pouvez contacter les auteurs, votre avocat ou un membre de celle-ci en vous adressant à l’un des avocats ci-dessous.

 

ÉQUIPE DE PROTECTION DE LA VIE PRIVÉE

France

François AMELI, +33 (0)1 81 80 10 80, fameli@ckrlaw.com

New York

Kristie BLASE, +1 212 259 7308, kblase@ckrlaw.com

Laurel GRASS, +1 212 259 8202, lgrass@ckrlaw.com

Siddartha RAO, +1 212 259 8214, srao@ckrlaw.com

California

Anna PARK, +1 424 382 1831, apark@ckrlaw.com

James SNYDER, +1 415 627 7264, jsnyder@ckrlaw.com