DOSSIER CLIENT FINAL JURIDIQUE PEUT-ON TOUT SAVOIR SUR SES CLIENTS ? Tout gestionnaire de la relation client en rêve : être le mieux de recueil du consentement renseigné possible sur son client pour être capable de répondre des personnes, sur la base duquel Google assied certains de ses plus précisément à ses besoins, voire les anticiper. traitements. Sur ce plan, le reproche adressé par la Cnil est double. Par Frédéric Forster, avocat, cabinet Alain Bensoussan Avocats Lexing En premier lieu, le consentement n’est pas recueilli conformément aux dispositions requises parce que, selon la Cnil, « l’information sur ces traitements, diluée dans plusieurs documents, ne permet pas à l’utilisateur de prendre conscience de leur ampleur ». En second lieu, parce que le consentement recueilli n’est pas « spécifique » et « univoque »,alors que le RGPD impose un consentement à donner pour chacune des finalités annoncées. Or, dans le cas de la société Google le consentement n’est donné que de manière globale et générique. Ainsi, au-delà du risque de sanction, D ans la gestion de la relation de la protection des données à dont on voit bien ici le changement client, les ressources caractère personnel, dont le premier total d’échelle de valeur, l’un des quasiment infinies qu’offre est celui du droit à l’information points les plus sensibles de la le big data constituent un eldorado dont disposent toutes les personnes protection des personnes est celui informationnel qu’il suffit de physiques dont les données font de la précision de l’information qui structurer au moyen d’algorithmes l’objet d’un traitement. Ce droit leur est fournie sur ce qui est fait avec disponibles sur le web pour offrir à l’information est décrit et circonscrit leurs données personnelles. Ne dit-on un service si pertinent et précis qu’il par le RGPD. Cette information doit, pas que l’enfer est pavé de bonnes est personnalisable et individualisable notamment, être donnée de manière intentions ? Quels que soient les à l’envi. Mais les informations concise, transparente, compréhensible projets d’un responsable de la gestion auxquelles le professionnel de la et aisément accessible, en des termes client, cette première décision relation client accède sont, pour clairs et simples, nous rappelle démontre qu’il lui faut impérativement beaucoup d’entre elles, des données l’article 12 du règlement européen. prendre en considération les limites à caractère personnel protégées, posées par ce que ses clients ont à ce titre, par la loi informatique GOOGLE ÉPINGLÉ autorisé, et par ce qui leur a été et libertés, et par le RGPD¹. Or, au cas de la société Google, annoncé lors de la collecte de leurs À ce propos, nous venons – enfin ? – cette information est dispersée dans données. À défaut, le traitement sera de voir prononcer la première sanction un ensemble de documents, comme illicite, il faudra renoncer au service par la Cnil sur le fondement du RGPD. le souligne la Cnil dans sa décision : rendu, et le préjudice financier Enfin, car jusqu’à présent nous « Des informations essentielles […] mais aussi, et surtout, d’image manquions d’éléments sur ce que sont excessivement disséminées dans dépassera de loin les avantages serait la pratique décisionnelle d’une plusieurs documents, qui comportent attendus par l’entreprise. autorité de protection des données des boutons et liens qu’il est nécessaire alors que le RGPD est entré en d’activer pour prendre connaissance ¹ Délibération n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société application depuis près d’un an. d’informations complémentaires. » Google LLC. Eh bien, nous savons que la Cnil De plus, la Cnil note que les traitements n’hésitera pas à appliquer le nouveau sont décrits « de façon trop générique barème des sanctions prévu par ledit et vague » et que « l’information « L’éventuel préjudice d’image RGPD, puisque la société Google pertinente n’est accessible qu’après a succombé à une condamnation plusieurs étapes, impliquant parfois dépassera les avantages de 50 M€. Pourquoi cette sanction ? jusqu’à cinq ou six actions ». Le second Pour ne pas avoir appliqué avec principe qui n’a pas été correctement attendus par l’entreprise » scrupule deux principes fondamentaux respecté touche aux modalités 144 I edi-mag.frI numéro 86I mars 2019 Suite du dossier p.146