Espace Entreprises

Le Réseau EUROJURIS FRANCE au service des entreprises.

Vous avez besoin d'un avocat pour votre entreprise ? Pour les PME et TPE, la prestation des Avocats EUROJURIS FRANCE se caractérise par :
  • Une prestation de qualité, garantie par une formation continue pointue et un échange de savoir-faire entre spécialistes du Réseau ;
  • La garantie du traitement de tous types de besoins, via le Réseau français et européen ;
  • La connaissance du tissu régional ; La connaissance du secteur d’activités du Client ;
  • La qualité de l’organisation interne ; Des outils et méthodes modernes ;
  • La transparence des honoraires ; Une grande réactivité et de la disponibilité ;
  • La proximité et la qualité du relationnel ; L’innovation et l’adaptation aux besoins.

Pour les litiges hors frontières, EUROJURIS International.
 

Transfert d'entreprise et PV de carence

Publié le : 03/05/2019 03 mai Mai 2019
Entreprises / Vie de l'entreprise / Cession d'entreprise
Transmission d'entreprise - Crédit photo : © Olivier Le Moal Par un arrêt du 6 mars 2019, la chambre sociale de la Cour de cassation se positionne pour la première fois sur les effets d’un procès-verbal de carence dans le cadre d’un transfert d’entreprise....

Les crédits de restructuration exclus du devoir de mise en garde du banquier

Publié le : 31/05/2019 31 mai Mai 2019
Entreprises / Finances / Banque et finance
credits - Crédit photo : © kromosphere Création jurisprudentielle, le devoir de mise en garde impose à un établissement bancaire, s’il se décide à octroyer un crédit risqué, de mettre en garde l’emprunteur sur le risque de non-rembour...

Rupture conventionnelle : le plus important c’est le consentement !

Publié le : 24/06/2019 24 juin Juin 2019
Entreprises / Ressources humaines / Contrat de travail
emploi - Crédit photo : © lil 22 Au gré des années, la Cour de Cassation a affiné sa jurisprudence concernant la validité de la rupture conventionnelle autour d’un maître-mot : le consentement.     Il est ainsi admis que le s...

La nouvelle théorie de l'imprévision des contrats et la possibilité de renégocier les contrats

Publié le : 01/07/2019 01 juillet Juil. 2019
Entreprises / Marketing et ventes / Contrats commerciaux/ distribution
révision des contrats imprévision code civil L’article 1195 du code civil est une nouveauté du code civil. Il définit l’imprévision comme un changement que les parties ne pouvaient pas prévoir lors de la conclusion du contrat, rendant l’exé...

Entreprises : quelles mentions doivent obligatoirement figurer sur votre site internet ?

Publié le : 28/05/2019 28 mai Mai 2019
Entreprises / Marketing et ventes / Publicité/ marketing
Entreprises / Gestion de l'entreprise / Informatique et Réseaux
dirigeant - Crédit photo : © ag visuell Les entreprises qui exploitent un site internet sont assujetties à diverses obligations d’information qui varient en fonction de l’objet de leur site.Toutes les entreprises ne sont donc pas assuj...

Affaire Tapie (6) : L'audience et les réponses apportées par le Tribunal

Publié le : 16/07/2019 16 juillet Juil. 2019
Entreprises / Contentieux / Procédures collectives / Liquidation
Saga Tapie affaire tapie pénal parquet Lire les articles précédents :  Affaire Tapie (1) : Suite et enfin... fin ? 25/06/2018 Affaire Tapie (2): Les sociétés GBT et FIBT étaient-elles éligibles à la procédure de sauvega...
Protection des données RGPD - Crédit photo : © ALF photo
Crédit photo : © ALF photo

RGPD : regard critique sur la décision de la CNIL concernant l'amende de Google

Publié le : 14/03/2019 14 mars Mars 2019
Dans sa délibération n° SAN – 2019-001 du 21 janvier 2019, la CNIL a reproché à Google un manque de transparence et d’accessibilité de l’information fournie aux utilisateurs des services Google (tels que la messagerie Gmail, le moteur de recherche Google Search, YouTube etc.).

S’agissant des traitements de publicité ciblée, la CNIL a considéré que le consentement des utilisateurs n’était pas recueilli conformément aux dispositions du Règlement Général pour la Protection des Données (« RGPD »).

Ainsi, il est reproché à Google de ne pas avoir procédé à une information spécifique et univoque pour chacun des nombreux services proposés par Google aussi diverses que Google search, Youtube, Google home, Google maps, Playstore, Google photo.

Pour l’ensemble de ces manquements, la CNIL a prononcé, sans mise en demeure préalable, une sanction de 50 millions d’euros.
 
Google ayant fait appel de la décision, l’éclairage du Conseil d’Etat sera nécessaire sur plusieurs sujets juridiques intéressants et en particulier sur l’appréciation de la notion d’établissement principal au fondement de la compétence de la CNIL dans cette affaire (1) et d’autre part sur le choix, la nature et la motivation de la décision de sanction prononcée par la CNIL contre Google (2).  
 

1. La compétence de la CNIL devra être tranchée par le Conseil d’Etat  

La délibération de la CNIL est la première illustration du mécanisme du guichet unique mis en place par le RGPD. Ainsi, dans le cadre de transferts transfrontaliers, aux termes de l’article 56 du RGPD, il est donné compétence à l’autorité de contrôle de l'établissement principal du responsable du traitement.
 
Dans sa décision du 21 janvier 2019, la CNIL a considéré qu’elle était compétente pour prononcer une sanction contre la société Google LLC au motif que cette dernière ne disposait pas d’un établissement principal en Irlande et qu’en conséquence toutes les autorités de contrôle de l’Union Européenne pouvaient être compétentes.  

Pour justifier sa décision, la CNIL reprend la définition donnée par l’article 4 (16) du RGPD qui définit la notion d’établissement principal comme «  le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal ».

A la lumière du considérant 36 du RGPD ; qui rappelle que la notion d’établissement principal s’apprécie au moyen de « critères objectifs » qui nécessitent « l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement » la CNIL décide qu’en l’absence d’établissement stable de la société Google en Irlande, elle est compétente pour agir au sens de l’article 56 du RGPD. Par cette délibération, la CNIL consacre, pour la première fois, les critères posés par les lignes directrices du G29 concernant la désignation d’une autorité contrôle chef de file d’un responsable ou d’un sous-traitant du 5 avril 2017.  

Concrètement, la CNIL considère que la seule présence d’un siège social dans l’Union Européenne ne suffit pas à caractériser la notion d’établissement stable et qu’en l’espèce la société Google Ireland Limited ne disposait pas, à la date de l’engagement des poursuites « d’un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ».

La CNIL constate également que la politique de confidentialité de Google ne mentionnait pas Google Ireland Limited comme l’entité où sont prises les décisions principales sur les traitements concernés ; qu’aucun DPO n’a été désigné au sein de cette entité et qu’enfin les transferts de responsabilité étaient en cours, et donc non effectifs[1].

Dans sa décision du 21 janvier, la CNIL décide que les activités financières et comptables, tout comme la vente d’espaces publicitaires ou la passation de contrats sont gérées par la société Google LLC et que la société Google Ireland Limited est seulement impliquée dans ces décisions, sans qu’il ne soit pour autant démontré que cette dernière dispose d’un pouvoir décisionnel effectif.

Sans surprise la société Google LLC a contesté la compétence de la CNIL au profit de l’autorité de protection de la vie privée Irlandaise la Data Protection Commission (« DPC »), en estimant que son siège en Irlande doit être considéré comme son établissement principal au sein de l’Union Européenne notamment pour les traitements objet de la plainte reçues par la CNIL et qui fondent la condamnation.

A ce titre, la société Google rappelle que la société Google Ireland Limited « est le siège social de Google pour ses opérations européennes depuis 2003 et qu’elle est l’entité en charge de plusieurs fonctions organisationnelles nécessaires à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.). » La société Google précise également que son siège en Irlande est en charge de « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne » et que « cette société emploie plus de 3 600 salariés » et enfin qu’elle dispose d’une équipe dédiée « en charge de la gestion des demandes faites au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée ».

En droit fiscal, ces éléments auraient vraisemblablement suffi à caractériser un établissement stable, redevable de l’impôt dans l’état concerné, mais la CNIL en a décidé autrement et a justifié sa décision par le fait que Google n’avait pas désigné d’autorité de contrôle au sein de l’Union Européenne, dans l’état membre ou se situe sont établissement principal.

En outre, interrogée par la CNIL, dans le cadre du mécanisme de coopération, la DPC, n’a pas estimé devoir se saisir du dossier.
Ainsi, en considérant que Google n’avait pas d’établissement principal en Irlande au sens du RGPD, il n’y avait pas de raison de saisir le CEPD et la CNIL a pu décider de s’attribuer la compétence pour sanctionner Google.
Le Conseil d’Etat devra confirmer ou infirmer la compétence de la CNIL dans cette affaire et devra ainsi revenir sur la définition d’établissement principal. Il n’est pas exclu que la CJUE soit saisie. 
 

2. Analyse de la sanction sous un angle processuel    

Indépendamment du montant de la sanction prononcée contre Google, il convient de s’interroger sur le choix et la nature de la sanction prononcée par la CNIL.

Malgré le nécessaire principe de l’opportunité des poursuites, la CNIL, en principe, procède à une mise en demeure préalablement à une sanction. Dans ce cas, elle fixe alors un délai pour donner l’opportunité à l’entreprise de se mettre en conformité. La sanction n’intervient normalement que dans l’hypothèse où l’organisme contrôlé n’a pas pris les mesures nécessaires dans le délai fixé par la CNIL.

Lorsque l’organisme contrôlé a appliqué les mesures nécessaires pour se mettre en conformité, aucune sanction n’est prononcée et la CNIL prend une décision de clôture du dossier.

Dans cette affaire, la CNIL, après avoir procédé à un contrôle en ligne a directement sanctionné Google – sans qu’il soit prononcé une mise en demeure ou un avertissement.

La société Google relève d’ailleurs « qu’une mise en demeure lui aurait permis d’entreprendre une démarche de mise en conformité et qu’il n’apparait pas que le prononcé direct d’une amende administrative constitue la mesure correctrice la plus adéquate ».

Ce choix d’une amende administrative, sans préavis, est seulement justifié par la CNIL par la gravité des manquements reprochés à Google. Le principe reste toutefois contestable et non conforme à la pratique habituelle de la CNIL, à tout le moins avec les acteurs français.  

De la même manière, une remarque sur la nature de la décision s’impose.

En effet, indépendamment de l’amende administrative, il convient de relever que la CNIL n’a pas fait injonction à la société Google de se mettre en conformité aux dispositions violées du RGPD, au moyen notamment d’une astreinte journalière. Il est seulement précisé dans le dispositif de la décision qu’elle doit être adressée à Google France pour exécution.
Or, le principe non bis in idem exclu qu’une même sanction soit prononcée pour les mêmes manquements. Comment dès lors qualifier la portée de cette décision, indépendamment du paiement de l’amende, la société Google a-t-elle l’obligation de se mettre en conformité ?  

Par ailleurs, il parait justifié de revenir sur la question de la motivation du calcul de la sanction.

En droit français les jugements doivent être motivés (article 455 du Code de procédure civile ; article 9 du code de justice administrative).

La Cour de Cassation [2] rappelle que « le domaine de la motivation est général. L’obligation s’applique indistinctement et, sauf exception, à toutes les décisions de justice ».

Ce principe est donc sans conteste applicable aux autorités administratives indépendantes. Or, dans la délibération du 21 janvier 2019, pour justifier le montant de la sanction, la CNIL se contente d’estimer que « au vu du montant maximum encouru établi sur la base de 4% du chiffre d’affaires indiqué au point 2 de la présente décision, qu’une sanction pécuniaire est justifiée à hauteur de 50 millions d’euros, ainsi qu’une sanction complémentaire de publicité pour les mêmes motifs ».

Rien dans la décision de la CNIL ne permet de comprendre les raisons qui justifient le montant de ladite sanction qui aurait pu s’élever à 4 % de 100 milliards d’euros soit 4 milliards d’euros. La sanction représente seulement 0,05 % du chiffre d’affaires annuel global de la société Google LLC.

Doit-on considérer que ce montant ne concerne que les activités de Google destinées aux utilisateurs de mobiles Android ? Comment apprécier ce montant par rapport au chiffre de 7 % des utilisateurs concernés ?

Aucune explication n’est donnée par la CNIL sur le calcul du montant de l’amende fixée. La CNIL se contente de considérer que « au regard de l’ampleur des traitements déployés et de la nécessité impérieuse pour les utilisateurs de garder la maîtrise de leurs données, que ceux-ci doivent être mis en situation d’être suffisamment informés de la portée des traitements mis en œuvre et d’y consentir valablement, sauf à priver de base la confiance dans l’écosystème numérique » et que « Compte tenu des avantages qu’elle retire de ces traitements, la société doit apporter une attention toute particulière à la responsabilité qui lui incombe au titre du RGPD dans leur mise en œuvre ».

Enfin, la CNIL tient « compte de la place prépondérante occupée par la société sur le marché des systèmes d’exploitation, de la gravité des manquements et de l’intérêt que représente la présente décision pour l’information du public ».

Aucun élément ne permet donc de comprendre le montant record mais dérisoire eu égard au plafond ouvert à la CNIL.

Enfin, force est de remarquer que la CNIL a précisé dans sa décision du 21 janvier 2019 que la société Google LLC disposait d’un délai de 4 mois pour faire appel de ladite décision devant le Conseil d’Etat.

Or, sur le fondement de l’article R421-1 du code de justice administrative un recours peut être formé contre une décision de la CNIL « dans les deux mois à partir de la notification ou de la publication de la décision attaquée ». Rien dans la décision de la CNIL du 21 janvier 2019 ne précise la raison de l’augmentation du délai d’appel. Ce point est néanmoins purgé puisque la société Google LLC a fait appel de la décision dans les deux jours de la publication de la décision.  
 
 
En conclusion, il convient de relever que la délibération de la CNIL suscite de nombreuses questions juridiques qu’il appartiendra au Conseil d’Etat de clarifier, dans l’intérêt de tous les acteurs concernés. En pratique pour les responsables de traitement qui mettent en œuvre des traitements transfrontaliers, il est recommandé de désigner l’autorité chef de file, dans l’état de leur établissement principal, pour réduire toute possibilité de débat sur la compétence des autorités de contrôle.


Cet article n'engage que son auteur.
 
 
[1] Google avait indiqué que le transfert de responsabilité de Google LLC vers Google Ireland Limited était en cours et qu’il serait finalisé le 31 janvier 2019, et que les règles de confidentialité entreraient en vigueur le 22 janvier 2019.  
[2] Cour de Cassation, Rapport 2010, L’INFORMATION IMPOSÉE PAR LE DROIT DE SAVOIR : LE DROIT D’OBTENIR D’AUTRUI UNE INFORMATION >L’OBLIGATION DE SE JUSTIFIER OU D’EXPLIQUER > L’obligation de motivation publiée en ligne
 

Auteur

CHAVANE DE DALMASSY Juliette
Avocat Collaborateur
CORNET, VINCENT, SEGUREL PARIS
PARIS (75)
Voir l'auteur Contacter l'auteur Tous les articles de l'auteur Site de l'auteur

Historique

<< < ... 4 5 6 7 8 9 10 ... > >>
Information sur les cookies
Ce site utilise des "cookies" pour effectuer de la mesure d’audience, ne nécessitant pas de consentement préalable, en application des textes régissant la protection des données personnelles.
Vos données personnelles ne sont pas collectées et ces cookies ne représentent aucun danger pour votre équipement.
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies. Plus d'informations Moins d'informations
Les cookies sont des fichiers textes utilisés à des fins statistiques ou pour le fonctionnement de certains modules d'identification par exemple.
Ces fichiers ne sont pas dangereux pour votre périphérique et ne sont pas utilisés pour collecter des données personnelles.
Le présent site n’utilise que des cookies d'identification, d'authentification, d’analyse de mesure d'audience ou de load-balancing ne nécessitant pas de consentement préalable, en application des textes régissant la protection des données personnelles.
Vous pouvez cependant vous opposer à la mise en place de ces cookies en désactivant cette option dans les paramètres de votre navigateur.
Nous vous invitons à consulter les instructions de votre navigateur à cet effet et vous informons qu'en cas de blocage de ces cookies certaines fonctionnalités du site peuvent devenir indisponibles.
J'ai compris