La CNIL inflige une amende record de 50 millions d'euros à Google
Une première sanction d'un géant américain dans le cadre du RGPD

Le , par Coriolan

120PARTAGES

14  0 
À quelques mois après l’entrée en vigueur du RGPD, la CNIL (Commission nationale de l’informatique et des libertés) a infligé une amende record de 50 millions d’euros à l’encontre de Google, devenant ainsi la première instance européenne à sanctionner un géant du numérique dans le cadre du règlement.

Les faits remontent à mai 2018, le mois durant lequel la Quadrature du Net et 12 000 internautes ont déposé des plaintes à la CNIL pour attaquer les GAFAM en recours collectif. Cette plainte est survenue après que Google et Facebook ont été accusés dans quatre pays d’avoir enfreint le RGPD, quelques heures seulement après son entrée en vigueur.


Après ce recours collectif, la CNIL a commencé l’instruction des plaintes. Il a été question en premier lieu de savoir si le gendarme français est apte de traiter les deux plaintes collectives, une action menée avec les homologues européens du gendarme français de la vie privée.

Le RGPD a institué un mécanisme de “guichet unique” « qui prévoit qu’un organisme établi dans l’Union européenne doit avoir pour seule interlocutrice l’autorité du pays où est situé son ‘établissement principal’ ». La CNIL a déterminé avec l’autorité de protection irlandaise que Google ne disposait pas d’un établissement principal en Europe.

« L’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par GOOGLE LLC en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile », a écrit la CNIL.

Le système de “guichet unique” n’étant pas applicable, la CNIL a conclu avoir la compétence de prendre des décisions concernant les traitements mis en œuvre par Google en conformité avec le RGPD.

Toujours dans le cadre de l’instruction des plaintes, la CNIL a mené en septembre 2018 un contrôle en ligne. Le but de cette démarche est de savoir si les traitements de données personnelles réalisés par Google sont conformes à la loi informatique et libertés et au RGPD. Ainsi, ont été analysés « le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android. »

Google transgresse le RGPD

Suite à ses investigations, la formation restreinte de la CNIL a constaté deux manquements majeurs au RGPD :

Un manquement à l'obligation de transparence et d’information


La CNIL a constaté que des informations essentielles (traitement des données, durée de conservation, utilisation pour la personnalisation de la publicité) sont dispersées sur plusieurs documents. Cette architecture générale de l’information choisie par Google rend difficile l’accès à ces informations par les utilisateurs. Parfois, pour disposer d’une information pertinente, l’utilisateur est contraint de passer par plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. De plus, l’information fournie n’est pas toujours claire et compréhensible, a conclu la formation restreinte.

Selon la CNIL, ce manquement à la transparence ne permet pas aux utilisateurs de saisir l’ampleur des traitements de Google auxquels leurs données sont soumises.

« La formation restreinte constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités. De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE », a écrit la CNIL.

Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

Google est une société qui se finance principalement par la publicité, une publicité ciblée qui se base sur le traitement de données utilisateurs. Si la firme assure qu’elle requiert le consentement des utilisateurs pour exploiter leurs données, la CNIL estime que ce processus lui aussi manque de clarté. Les utilisateurs sont dépourvus d’informations claires et directes. Plutôt, Google affiche une information « diluée dans plusieurs documents » qui ne permet pas là encore de saisir l’ampleur des traitements de Google. La CNIL a donné l’exemple de la rubrique de « Personnalisation des annonces ».

« Il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliquées dans ces traitements (Google search, YouTube, Google home, Google maps, Play Store, Google photo…) et donc du volume de données traitées et combinées. »

Au bout du compte, la CNIL estime que le consentement recueilli par Google n’est pas « spécifique » et « univoque ». L’utilisateur étant contraint de cliquer sur « plus d’options » pour accéder aux paramètres, dont certains comme l’affichage d’annonces personnalisées sont cochés par défaut. Or, le RGPD exige que le consentement ne puisse être considéré comme « univoque » que si l’utilisateur choisit intentionnellement d’effectuer un acte positif, explique la CNIL.

De même, le gendarme français a constaté que le consentement des utilisateurs n’est pas spécifique. En effet, Google emploie un procédé qui laisse l’utilisateur accepter en bloc des conditions d’utilisation qui répondent aux finalités poursuivies par la firme, une modalité contraire au RGPD qui exige que le consentement doit être donné « de manière distincte pour chaque finalité ».

Une amende de 50 millions d’euros

Suite à ces manquements, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de Google. Un montant record qui se justifie par « la gravité des manquements constatés. »

La CNIL a rappelé que le modèle économique de Google est basé sur la publicité personnalisée. Or, la firme ne présente pas des garanties fondamentales concernant les traitements des données utilisateurs qui peuvent « révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi illimitées », a indiqué la CNIL.

En France, ce sont des milliers de Français qui créent un compte Google chaque jour pour l’utilisation d’un terminal Android. Sans les dispositions du RGPD, ces utilisateurs ne se rendent tout simplement pas compte du processus de l’exploitation de leurs données. La CNIL a noté que ces manquements ne sont pas ponctuels, ils perdurent dans le temps en violation continue du traitement.

Une amende record, mais pas suffisante

L’amende infligée à Google par la CNIL constitue un record, mais on devrait se demander si elle va perturber Google, la société ayant généré 32,32 milliards de dollars durant le quatrième trimestre de 2018, soit 384,76 millions de $ chaque jour. De ce fait, le montant de 50 millions d’euros apparait comme étant dérisoire, surtout qu’on parle là d’une violation d’un règlement majeur de protection de la vie privée par Google dans ses services et produits phares.

Suite à cette sanction, un porte-parole de Google a déclaré que l'entreprise est « profondément engagée » à respecter les « normes élevées de transparence et de contrôle » attendues. La firme a indiqué qu’elle est en train d’étudier la décision de la CNIL pour déterminer ses prochaines actions.

Source : cnil

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que cette sanction va perturber Google et les autres géants du numérique ?
Pensez-vous que les utilisateurs vont limiter leur utilisation des services de Google après cette amende ?

Voir aussi

Droit à l'oubli : un avocat de la CJUE estime que Google peut le limiter aux recherches effectuées en UE malgré les demandes de la CNIL
La Cnil condamne Bouygues à une amende de 250 000 euros pour une faille de sécurité qui a impacté les données de plus de deux millions de clients
La CNIL inflige une amende de 400 000 euros à Uber pour le piratage dont la société a été victime en 2016

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Cassoulatine
Membre actif https://www.developpez.com
Le 21/01/2019 à 20:03
L'administration soviétique française vaincra.

La CNIL a constaté que des informations essentielles (traitement des données, durée de conservation, utilisation pour la personnalisation de la publicité) sont dispersées sur plusieurs documents. Cette architecture générale de l’information choisie par Google rend difficile l’accès à ces informations par les utilisateurs.
C'est fou personne à la CNIL n'a ouvert de forfait chez SFR.

L’utilisateur étant contraint de cliquer sur « plus d’options » pour accéder aux paramètres
Et oui, demander à l'utilisateur de cliquer sur « plus d’options », c'est vraiment trop. En fait faudrait que Google mettent les traitement des données, durée de conservation, et tout le reste du bordel exigé par la CNIL en premier, avant leur service. Là on est sûr.

De même, le gendarme français a constaté que le consentement des utilisateurs n’est pas spécifique. En effet, Google emploie un procédé qui laisse l’utilisateur accepter en bloc des conditions d’utilisation qui répondent aux finalités poursuivies par la firme, une modalité contraire au RGPD qui exige que le consentement doit être donné « de manière distincte pour chaque finalité ».
De même avec mademoiselle, le consentement doit être donné « de manière distincte pour chaque finalité ». Est ce que je peux embrasser là ? Et là ? Mettre la main là ? Mon *** là ? Puis je émettre un fluide dont la finalité est de te féconder, fécondation dont la finalité est la naissance d'un petit enfant, naissance qui implique la prise en charge dudit enfant ?

Les femmes des agents de la CNIL doivent s'éclater.

la CNIL estime que le consentement recueilli par Google n’est pas « spécifique » et « univoque ».
Accessoirement les français n'ont jamais consenti à ce que la CNIL dicte la gestion des "données utilisateur". On a jamais donné notre accord, même pas derrière un bouton « plus d’options ». La CNIL est une création de l'administration étatique.
Avatar de lemalo
Membre à l'essai https://www.developpez.com
Le 21/01/2019 à 23:35
Citation Envoyé par Cassoulatine Voir le message
L'administration soviétique française vaincra.

C'est fou personne à la CNIL n'a ouvert de forfait chez SFR.

Et oui, demander à l'utilisateur de cliquer sur « plus d’options », c'est vraiment trop. En fait faudrait que Google mettent les traitement des données, durée de conservation, et tout le reste du bordel exigé par la CNIL en premier, avant leur service. Là on est sûr.

De même avec mademoiselle, le consentement doit être donné « de manière distincte pour chaque finalité ». Est ce que je peux embrasser là ? Et là ? Mettre la main là ? Mon *** là ? Puis je émettre un fluide dont la finalité est de te féconder, fécondation dont la finalité est la naissance d'un petit enfant, naissance qui implique la prise en charge dudit enfant ?

Les femmes des agents de la CNIL doivent s'éclater.

Accessoirement les français n'ont jamais consenti à ce que la CNIL dicte la gestion des "données utilisateur". On a jamais donné notre accord, même pas derrière un bouton « plus d’options ». La CNIL est une création de l'administration étatique.
Pour information, le RGPD n'est pas une invention de la CNIL. Les différents points remontés par la CNIL font partis des exigences du règlement (qu'elle ne fait qu'appliquer puisqu'il s'agit de l'autorité de contrôle française). Ce n'est donc pas le bon organisme à attaquer :-).

Par ailleurs, le RGDP concerne les "données personnelles", celles qui permettent de t'identifier directement ou indirectement. Ton exemple sur le consentement de la femme est donc non applicable dans le cadre de ce règlement.

Un peu de lecture pour appronfondir (à partir du CHAPITRE I)
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR
Avatar de saturn1
Membre confirmé https://www.developpez.com
Le 22/01/2019 à 22:14
Cool, on va pouvoir manger un peu de pain. Merci gogol
Avatar de Coriolan
Chroniqueur Actualités https://www.developpez.com
Le 24/01/2019 à 2:42
RGPD : Google va faire appel de l'amende inédite infligée par la Cnil
le géant de la recherche compte saisir le Conseil d’État

Google a fait savoir mercredi qu’il va faire appel de l’amende de 50 millions d'euros infligée en France par la Commission nationale de l’informatique et des libertés (CNIL) pour mésinformation de ses utilisateurs sur l’utilisation de leurs données personnelles.


« Nous avons travaillé dur pour mettre au point un processus de consentement conforme au RGPD pour les publicités personnalisées aussi transparent et simple que possible », a dit un porte-parole de la filiale du groupe Alphabet.

« Nous sommes aussi inquiets de l’impact de cette décision pour les éditeurs, les créateurs de contenus originaux et les entreprises technologiques en Europe et ailleurs. Pour toutes ces raisons, nous avons maintenant décidé de faire appel. »

Pour ces raisons, le géant de la recherche compte saisir le Conseil d’État. Pour rappel, une plainte à l’encontre de Google a été déposée par la Quadrature du Net et None Of Your Business (NOYB) dès l’entrée en vigueur du RGPD.

Après la sanction de lundi, le gendarme français est devenu le premier régulateur européen à sanctionner un géant du net américain dans le cadre du RGPD. L’amende infligée constitue aussi un record, mais reste insuffisante pour certains qui estiment que les GAFAM doivent être sanctionnés à coût de milliards au vu de leurs bénéfices énormes. À titre d’exemple, Google a généré 32,32 milliards de dollars durant le quatrième trimestre de 2018, soit 384,76 millions de $ par jour.

En cas d’infraction, une amende peut atteindre jusqu'à 4 % du chiffre d'affaires annuel des entreprises ne respectant pas le règlement. Toutefois, la CNIL doit veiller à ce que les amendes qui seront imposées soient « effectives, proportionnées et dissuasives ».

Source : Reuters

Et vous ?

Qu’en pensez-vous ?
Pensez-vous que cette sanction de la Cnil va pousser Google à changer ses pratiques ?

Voir aussi

Google : les données ne sont pas comme le pétrole qui est une ressource épuisable, mais comme la lumière du soleil qui se régénère quand on l'utilise
Directive Copyright : Google confirme qu'il envisage de fermer son service Google News en Europe, en réponse à la taxe sur les liens
Allemagne : des éditeurs de presse continuent l'offensive contre Google et demandent une rémunération pour chaque référencement à un article
Droit à l'oubli : un avocat de la CJUE estime que Google peut le limiter aux recherches effectuées en UE malgré les demandes de la CNIL
Avatar de tanaka59
Membre expérimenté https://www.developpez.com
Le 24/01/2019 à 9:18
Google fait appel ?

Je suis juge, très bien je m'arrange pour augmenter l'amende x5 x10 ?
Avatar de byrautor
Membre averti https://www.developpez.com
Le 28/01/2019 à 10:36
Merci Google, grace à toi je trouve !
Quant à mes données personnelles il y a belle lurette qu'elles sont chez mes fournisseurs avec mes mots de passe !
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web