L’Autorité belge de Protection des Données inflige une amende de 600.000 € à GOOGLE – Analyse de la décision

Ce qu’il faut retenir :

  • L’Autorité belge de Protection des Données passe à la vitesse supérieure en termes de sanction des responsables de traitement qui manquent à leurs obligations au titre du RGPD.
  • Pour garantir l’effectivité du RGPD, l’Autorité défend sa compétence territoriale pour un traitement mis en œuvre par un responsable de traitement établi aux USA, en argumentant que les activités de GOOGLE LLC et GOOGLE BELGIUM sont, en l’espèce, indissociablement liées.

Ce 14 juillet 2020, la Chambre Contentieuse de l’Autorité belge de Protection des Données (« APD ») a condamné GOOGLE BELGIUM à une amende record de 600.000 € pour avoir refusé de donner suite à une demande de déréférencement d’un citoyen belge.

1. Les faits

Le plaignant, qui par son activité professionnelle joue un rôle dans la vie publique du pays, sollicitait auprès de GOOGLE le déréférencement d’articles de presse le concernant et qui, selon ses dires, attentaient à son honneur et à sa réputation.

Il s’agissait plus particulièrement de contenus (i) laissant apparaitre son rattachement à un certain parti politique (bien que cette appartenance soit réfutée par le plaignant) et (ii) mentionnant une plainte pour harcèlement dont il avait fait l’objet mais qui avait été déclarée non fondée.

GOOGLE n’a cependant pas donné suite à ses demandes de suppression d’informations personnelles et a refusé de bloquer certains contenus, si bien que le plaignant s’est retrouvé contraint d’introduire une plainte auprès de la Chambre Contentieuse de l’APD.

2. La compétence de l’Autorité de Protection des Données

GOOGLE BELGIUM soutenait que l’APD ne serait pas compétente, dans la mesure où le responsable de traitement ne serait pas GOOGLE BELGIUM mais bien GOOGLE LLC, société établie aux Etats-Unis.

L’APD n’a cependant pas accepté cet argument, considérant que les activités de GOOGLE LLC et GOOGLE BELGIUM sont, en l’espèce, indissociablement liées. Selon la Chambre, une interprétation différente « mettrait en péril l’effet utile de l’application du RGPD » (§42 de la décision).

3. La décision de la Chambre Contentieuse

À titre préliminaire, la Chambre a rappelé qu’un déréférencement pouvait également avoir un impact sur la liberté d’information des internautes, d’où l’importance d’évaluer l’intérêt du public à disposer de telles informations.

En l’espèce, le plaignant soutenait en premier lieu que les articles de presse qui le présentaient comme « étiqueté parti Y » étaient inexacts et infondés.

La Chambre Contentieuse a toutefois relevé que le plaignant ne contestait pas avoir fait l’objet d’un soutien professionnel par le parti Y dans sa vie publique et que ce soutien professionnel n’était pas forcément révélateur d’une opinion politique au sens de l’article 9 du RGPD (lequel interdit le traitement de données personnelles révélatrices d’une opinion politique). Plus encore, la Chambre a considéré que ces informations étaient nécessaires pour assurer la transparence des désignations politiques dans une fonction publique et que c’est donc à juste titre que GOOGLE BELGIUM n’avait pas donné suite à la demande de déréférencement de ces contenus.

Concernant, en second lieu, les sites évoquant la plainte pour harcèlement dirigée à l’encontre du plaignant, la Chambre contentieuse a cette fois-ci considéré que ces référencements n’étaient plus à jour, dans la mesure où la plainte avait été déclarée non fondée. Selon la Chambre, de telles informations ne participent pas au débat public mais sont par contre susceptibles d’être préjudiciables pour le plaignant.

La Chambre a relevé également que l’information selon laquelle la plainte pour harcèlement a été déclarée infondée avait été portée à la connaissance de GOOGLE et que cette dernière avait donc connaissance de motifs sérieux justifiant le déréférencement sur base de l’article 17, 1., a) du RGPD (qui impose l’effacement des données lorsqu’elles « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière »), lorsqu’elle a choisi de ne pas y donner suite. Partant, GOOGLE BELGIUM a violé le Règlement Général sur la Protection des Données.

En page 40 de sa décision, la Chambre Contentieuse n’hésite pas à insister sur la gravité des manquements de GOOGLE :

« La Chambre contentieuse considère que ces manquements présentent un caractère grave de la part de Google. Bien que les dispositions violées comportent des normes ouvertes à interprétation et que le droit à la protection des données ne soit pas un droit absolu, le déréférencement est une obligation claire d’un moteur de recherches suite à l’arrêt Google Spain. Comme évoqué par la Cour de Justice, la gravité potentielle de l’ingérence est sérieuse et les droits d’une personne concernée prévalent, en principe, sur l’intérêt de ce public à trouver ladite information lors d’une recherche portant sur le nom de cette personne » (nous soulignons).

4. La sanction

Au vu des manquements de GOOGLE BELGIUM relatés ci-dessus, la Chambre Contentieuse a décidé d’imposer une amende de 600.000 €, à des fins dissuasives.

La Chambre souligne que « le but d’infliger une amende administrative n’est pas seulement de mettre fin à une infraction commise mais surtout de veiller à une application efficace des règles du RGPD » (§168 de la décision, nous soulignons).

5. Conclusion

Par cette décision, il semble que l’APD ait décidé de durcir les sanctions infligées aux entreprises qui ne respecteraient pas le droit à la vie privée des citoyens et de se montrer plus stricte dans l’application des règles relatives à la protection des données.

Jusqu’à présent, l’APD s’était montrée relativement timide dans ses sanctions dans la mesure où le montant maximal d’amende jusqu’ici imposé pour une violation du RGPD par une entreprise (en l’occurrence, Proximus) s’élevait à la « modique » somme de 50.000 EUR.

Sur le site de l’APD, David Stevens, son Président, a d’ailleurs confirmé cette volonté de faire respecter strictement les règles du RGPD et de mieux protéger la vie privée des citoyens belges :

« Cette décision n’est pas seulement importante pour nos concitoyens belges, elle est aussi la preuve de notre ambition de mieux protéger la vie privée ‘en ligne’ en collaboration avec nos homologues européens, ce qui demande des actions concrètes contre des acteurs actifs au niveau mondial. De cette manière, nous souhaitons contribuer activement au développement d’une réelle culture de protection des données au niveau européen ».

Il ne reste plus qu’à voir si, à l’avenir, l’APD restera effectivement sur cette lancée.