À quelques mois après l’entrée en vigueur du RGPD, la CNIL (Commission nationale de l’informatique et des libertés) a infligé une amende record de 50 millions d’euros à l’encontre de Google, devenant ainsi la première instance européenne à sanctionner un géant du numérique dans le cadre du règlement.
Les faits remontent à mai 2018, le mois durant lequel la Quadrature du Net et 12 000 internautes ont déposé des plaintes à la CNIL pour attaquer les GAFAM en recours collectif. Cette plainte est survenue après que Google et Facebook ont été accusés dans quatre pays d’avoir enfreint le RGPD, quelques heures seulement après son entrée en vigueur.
Après ce recours collectif, la CNIL a commencé l’instruction des plaintes. Il a été question en premier lieu de savoir si le gendarme français est apte de traiter les deux plaintes collectives, une action menée avec les homologues européens du gendarme français de la vie privée.
Le RGPD a institué un mécanisme de “guichet unique” « qui prévoit qu’un organisme établi dans l’Union européenne doit avoir pour seule interlocutrice l’autorité du pays où est situé son ‘établissement principal’ ». La CNIL a déterminé avec l’autorité de protection irlandaise que Google ne disposait pas d’un établissement principal en Europe.
« L’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par GOOGLE LLC en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile », a écrit la CNIL.
Le système de “guichet unique” n’étant pas applicable, la CNIL a conclu avoir la compétence de prendre des décisions concernant les traitements mis en œuvre par Google en conformité avec le RGPD.
Toujours dans le cadre de l’instruction des plaintes, la CNIL a mené en septembre 2018 un contrôle en ligne. Le but de cette démarche est de savoir si les traitements de données personnelles réalisés par Google sont conformes à la loi informatique et libertés et au RGPD. Ainsi, ont été analysés « le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android. »
Google transgresse le RGPD
Suite à ses investigations, la formation restreinte de la CNIL a constaté deux manquements majeurs au RGPD :
Un manquement à l'obligation de transparence et d’information
La CNIL a constaté que des informations essentielles (traitement des données, durée de conservation, utilisation pour la personnalisation de la publicité) sont dispersées sur plusieurs documents. Cette architecture générale de l’information choisie par Google rend difficile l’accès à ces informations par les utilisateurs. Parfois, pour disposer d’une information pertinente, l’utilisateur est contraint de passer par plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. De plus, l’information fournie n’est pas toujours claire et compréhensible, a conclu la formation restreinte.
Selon la CNIL, ce manquement à la transparence ne permet pas aux utilisateurs de saisir l’ampleur des traitements de Google auxquels leurs données sont soumises.
« La formation restreinte constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités. De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE », a écrit la CNIL.
Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité
Google est une société qui se finance principalement par la publicité, une publicité ciblée qui se base sur le traitement de données utilisateurs. Si la firme assure qu’elle requiert le consentement des utilisateurs pour exploiter leurs données, la CNIL estime que ce processus lui aussi manque de clarté. Les utilisateurs sont dépourvus d’informations claires et directes. Plutôt, Google affiche une information « diluée dans plusieurs documents » qui ne permet pas là encore de saisir l’ampleur des traitements de Google. La CNIL a donné l’exemple de la rubrique de « Personnalisation des annonces ».
« Il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliquées dans ces traitements (Google search, YouTube, Google home, Google maps, Play Store, Google photo…) et donc du volume de données traitées et combinées. »
Au bout du compte, la CNIL estime que le consentement recueilli par Google n’est pas « spécifique » et « univoque ». L’utilisateur étant contraint de cliquer sur « plus d’options » pour accéder aux paramètres, dont certains comme l’affichage d’annonces personnalisées sont cochés par défaut. Or, le RGPD exige que le consentement ne puisse être considéré comme « univoque » que si l’utilisateur choisit intentionnellement d’effectuer un acte positif, explique la CNIL.
De même, le gendarme français a constaté que le consentement des utilisateurs n’est pas spécifique. En effet, Google emploie un procédé qui laisse l’utilisateur accepter en bloc des conditions d’utilisation qui répondent aux finalités poursuivies par la firme, une modalité contraire au RGPD qui exige que le consentement doit être donné « de manière distincte pour chaque finalité ».
Une amende de 50 millions d’euros
Suite à ces manquements, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de Google. Un montant record qui se justifie par « la gravité des manquements constatés. »
La CNIL a rappelé que le modèle économique de Google est basé sur la publicité personnalisée. Or, la firme ne présente pas des garanties fondamentales concernant les traitements des données utilisateurs qui peuvent « révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi illimitées », a indiqué la CNIL.
En France, ce sont des milliers de Français qui créent un compte Google chaque jour pour l’utilisation d’un terminal Android. Sans les dispositions du RGPD, ces utilisateurs ne se rendent tout simplement pas compte du processus de l’exploitation de leurs données. La CNIL a noté que ces manquements ne sont pas ponctuels, ils perdurent dans le temps en violation continue du traitement.
Une amende record, mais pas suffisante
L’amende infligée à Google par la CNIL constitue un record, mais on devrait se demander si elle va perturber Google, la société ayant généré 32,32 milliards de dollars durant le quatrième trimestre de 2018, soit 384,76 millions de $ chaque jour. De ce fait, le montant de 50 millions d’euros apparait comme étant dérisoire, surtout qu’on parle là d’une violation d’un règlement majeur de protection de la vie privée par Google dans ses services et produits phares.
Suite à cette sanction, un porte-parole de Google a déclaré que l'entreprise est « profondément engagée » à respecter les « normes élevées de transparence et de contrôle » attendues. La firme a indiqué qu’elle est en train d’étudier la décision de la CNIL pour déterminer ses prochaines actions.
Source : cnil
Et vous ?
Qu’en pensez-vous ?
Pensez-vous que cette sanction va perturber Google et les autres géants du numérique ?
Pensez-vous que les utilisateurs vont limiter leur utilisation des services de Google après cette amende ?
Voir aussi
Droit à l'oubli : un avocat de la CJUE estime que Google peut le limiter aux recherches effectuées en UE malgré les demandes de la CNIL
La Cnil condamne Bouygues à une amende de 250 000 euros pour une faille de sécurité qui a impacté les données de plus de deux millions de clients
La CNIL inflige une amende de 400 000 euros à Uber pour le piratage dont la société a été victime en 2016
La CNIL inflige une amende record de 50 millions d'euros à Google
Une première sanction d'un géant américain dans le cadre du RGPD
La CNIL inflige une amende record de 50 millions d'euros à Google
Une première sanction d'un géant américain dans le cadre du RGPD
Le , par Coriolan
Une erreur dans cette actualité ? Signalez-nous-la !