RGPD : l’UFC-Que Choisir engage des poursuites contre Google

Une fois n’est pas coutume : Google se retrouve à nouveau dans la ligne de mire des juridictions françaises pour violation du Règlement général sur la protection des données personnelles (RGPD), suite à son assignation par l’association de défense des consommateurs UFC-Que Choisir, le 26 juin 2019.

Une nouvelle affaire en France pour Google

Au moyen d’une action de groupe, l’association sollicite la condamnation des sociétés Google Ireland et Google LLC au paiement de mille euros par personne pour l’ensemble de consommateurs détenteurs d’un équipement Android et titulaires d’un compte Google.

Les affaires s’accumulent pour Google en 2019. Pour mémoire, en France ont été rendus :

  • la décision de la Commission nationale de l’informatique et des libertés (CNIL) du 21 janvier 2019 condamnant Google au paiement d’une amende de 50 millions d’euros pour défaut de transparence, insuffisance d’informations et défaut de consentement valable de l’intéressé ;

  • le jugement du tribunal de grande instance du 12 février 2019 condamnant Google au paiement de 30 000 euros de dommages et intérêts et à 20 000 euros au titre des frais de justice en raison de 38 clauses considérées comme abusives et illicites des conditions d’utilisation et des règles de confidentialité de Google.

L’Europe n’est pas en reste, puisque la Commission européenne condamnait le 20 mars 2019 Google à une amende record de 1,4 milliard d’euros pour abus illégal de position dominante sur le marché de la publicité ciblée.

De longues batailles judiciaires s’annoncent avant que les décisions soient définitives. Ce n’est qu’à l’issue d’un long périple que celles-ci feront autorité de chose jugée pour être ensuite, le cas échéant, exécutées. Rien n’est encore sûr, loin s’en faut.

Des questions autour du consentement de l’utilisateur

En l’espèce, comme devant la CNIL dans l’affaire évoquée supra, ce sont les conditions du recueil du consentement de l’utilisateur qui sont au centre des débats. Selon UFC-Que Choisir, le consommateur ne serait pas en mesure de prendre conscience de l’étendue de ses données personnelles relatives aux utilisations et aux informations de géolocalisation qui sont collectées et traitées par Google.

Selon l’association, perdu dans les méandres de clauses de confidentialité interminables, le consommateur se trouverait bien en peine de donner un consentement valable lorsqu’il charge les applications nécessaires au fonctionnement de son mobile. Or, l’article 4, 11) du RGPD exige un consentement libre, spécifique, éclairé et univoque sur toutes les finalités de traitement, et notamment celles relatives au ciblage publicitaire et à la géolocalisation dont l’utilisateur fait l’objet par l’équipement Android avec un compte Google.

Or, cette masse de données personnelles exploitées constitue une véritable manne de revenus dans le marché de la publicité ciblée.

L’action de groupe, une arme judiciaire redoutable

D’origine américaine avec la class action, ce n’est qu’en 2014 que l’action de groupe a été reconnue en droit français, par la loi n° 2014-344 du 17 mars 2014. Elle permet notamment à des consommateurs victimes d’un même préjudice d’intenter ensemble une action en réparation de leurs préjudices subis en raison des manquements d’un professionnel. Cette procédure a ainsi le mérite de réunir plusieurs parties dans un même dossier pour les mêmes faits en vue d’obtenir la réparation de dommages subis.

Concernant la protection des données personnelles, l’action de groupe est prévue à l’article 80 du RGPD, selon lequel :

 « La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit. (…).»

Le droit à réparation des victimes atteintes de violation à la protection de leurs données personnelles est prévu à l’article 82 du RGPD :

« Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi (…). »

Cette action sera-t-elle une nouvelle pierre à l’édifice œuvrant pour le respect de la transparence quant aux traitements des données personnelles des utilisateurs faits par les GAFAM et autres professionnels conformément aux exigences du RGPD ?

Affaire à suivre !

(Source : UFC-Que Choisir)