Accueil RGPD RGPD : Google écope d’une amende de 50 millions d’euros de la...

RGPD : Google écope d’une amende de 50 millions d’euros de la Cnil – Les nouveaux plafonds de sanctions appliqués

Google Logo

Ce lundi, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de Google en application du RGPD. Elle lui reproche un manque de transparence, une information insatisfaisante et l’absence de consentement valable pour la personnalisation de la publicité. C’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD.

Les 25 et 28 mai 2018, la Commission nationale de l’informatique et des libertés a reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de l’association La Quadrature du Net (« LQDN »).  LQDN était mandatée par près de 10 000 personnes pour saisir la CNIL. Dans ces deux plaintes, les associations reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

La Cnil a alors instruit ces plaintes, après avoir vérifié qu’elle était compétente pour les traiter. Un contrôle en ligne en septembre 2018 a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android.
Deux séries de manquement au RGPD ont alors été constatées.
Manque d’information et de transparence

D’abord un manquement aux obligations de transparence et d’information. Les informations fournies en sont pas « aisément accessibles pour les utilisateurs », reproche l’Autorité à Google. « Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents« , indique-t-elle. Par ailleurs, « les informations délivrées ne sont pas toujours claires et compréhensibles« .  « L’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société Google. » Enfin, la formation restreinte relève que la durée de conservation de certaines données n’est pas indiquée.

Absence de base légale pour les traitements de personnalisation de la publicité
La CNIL estime que le consentement des internautes n’est pas valablement recueilli pour deux raisons. D’abord parce que le consentement des utilisateurs n’est pas suffisamment éclairé. La Cnil justifie :  » Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées. » L’autorité constate ensuite que le consentement recueilli n’est pas « spécifique et univoque ». S’il est possible de paramétrer les modalités d’affichage des annonces personnalisées, elle relève que l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au  paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple). Enfin, avant de créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation  de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.). Or le consentement n’est « spécifique », comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.
Plafond des sanctions : une première 
C’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD. Le montant retenu, ainsi que la publicité de l’amende, se justifient « d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement« , plaide la Cnil, alors que les utilisateurs sont privés « de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée« .
La Cnil rappelle en outre que les manquements retenus perdurent à ce jour et sont « des violations continues du Règlement« .