Juridique

La CNIL sanctionne Google avec une amende de 50 millions d'euros

Pour la dernière ligne droite de son mandat qui s'achève dans les semaines qui viennent, Isabelle Falque-Pierrotin affiche à son tableau de chasse une dernière cible de choix : Google. (Crédit : D.R.)

La Commission Nationale de l'Informatique et des Libertés vient d'infliger une amende de 50 millions d'euros à Google. Manque de transparence et d'information des utilisateurs quant à leurs données personnelles et consentement des utilisateurs non valablement recueilli pour les traiter ont notamment été retenus comme manquement.

PublicitéSuite à une plainte remontant à fin mai 2018, la CNIL vient d'infliger une amende record de 50 millions d'euros à Google, en application du RGPD, pour manque de transparence, information insatisfaisante et absence de consentement valable pour personnalisation de publicité. Et la formation restreinte rappelle que ces manquements perdurent encore aujourd'hui, justifiant l'importance de la sanction.

Fin mai 2018, quelques jours après la mise en application du RGPD, les associations La Quadrature du Net et None of your business déposaient deux plaintes contre Google. Elles reprochaient à ce dernier ne pas disposer d'une base juridique valable pour traiter des données personnelles des utilisateurs de ses services, notamment pour personnaliser les publicités. Le système dit du « guichet unique » n'était pas applicable pour cette plainte, la CNIL a donc été déclarée compétente pour prendre des décisions concernant les traitements mis en oeuvre contre Google. La CNIL a d'abord procédé, en septembre 2018, à un contrôle en ligne pour vérifier la conformité au RGPD et à la loi informatique et libertés de Google pour les traitements de données personnelles. Elle a ainsi analysé le parcours d'un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile Android. Et a constaté deux séries de manquements.

Manque de transparence et mauvais recueil du consentement

Premièrement, un manque de transparence et d'information des utilisateurs quant à leurs données personnelles a été constaté. « Des informations essentielles [...] sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu'il est nécessaire d'activer pour prendre connaissance d'informations complémentaires », note la CNIL dans un communiqué. Les utilisateurs ne seraient, de plus, pas forcément en mesure de comprendre l'ampleur des traitements réalisés par Google, qui les décrirait « de façon trop générique et vague » selon la formation restreinte. La durée de conservation des données n'est, de surcroit, pas indiquée.

Deuxièmement, la CNIL estime que le consentement des utilisateurs pour traiter leurs données n'est pas « valablement recueilli pour deux raisons ». D'abord, comme évoqué plus haut, il est impossible de prendre clairement conscience du volume de données traitées, puisque l'utilisateur doit donner son accord pour chacun des services de Google (moteur de recherche, YouTube, Maps, Home, etc.). Ensuite, le consentement recueilli n'est pas « spécifique » et « univoque ». C'est-à-dire, que l'utilisateur, s'il veut modifier les paramètres d'affichage des publicités à la création de son compte, doit faire la démarche de cliquer sur « plus d'options » pour réaliser ce paramétrage. Et les cases du formulaire sur l'acceptation d'annonces personnalisées sont pré-cochées par défaut. Or le RGPD indique qu'un consentement n'est « univoque » que lorsque l'utilisateur réalise une action positive. Enfin, l'utilisateur est invité à consentir en bloc les CGU de Google et ses règles de confidentialités, ce qui ne donne pas lieu à un consentement « spécifique » pour chaque finalité.

Publicité Suite à cette décision, Google n'a pour l'heure pas encore fait savoir si il comptait faire appel devant le Conseil d'Etat.