La CNIL inflige une amende de 50 millions d’euros à Google pour non respect du RGPD

En ce début d’année, la CNIL, Commission Nationale de l’Informatique et des Libertés, vient d’infliger une amende à Google en application du RGPD suite à des plaintes collectives de deux associations.

Au cours du mois de mai dernier, la CNIL a reçu deux plaintes émanant de deux associations : None of Your Business et La Quadrature du Net, cette dernière avait été mandatée par près de 10 000 personnes pour saisir la commission.

Les plaignants reprochaient à Google de « ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité ».

Les plaintes ont été traitées immédiatement par la CNIL qui les a également transmises à ses homologues européens pour vérifier si elles étaient compétentes pour les traiter. En effet, dans son fonctionnement le RGPD prévoit que la plainte soit instruite par la commission où le siège de l’entreprise est présent, en l’occurrence l’Irlande pour Google Europe. Mais la branche européenne de Google n’a aucun pouvoir sur les traitements mis en oeuvre dans le cadre d’Android et de la création d’utilisateur lors de la configuration d’un mobile.

Puis la commission française a donc finalement commencé à instruire la plainte au mois de septembre 2018 en procédant à des contrôles en ligne dans l’objectif était de vérifier la conformité au RGPD et ainsi à la loi informatique et libertés en analysant le parcours d’un utilisateur lambda.

Des manquements dans le parcours de création de compte

Il a été constaté par la formation restreinte de la CNIL que les informations fournies par Google sont difficilement accessibles aux utilisateurs.  Les différentes données nécessaires aux clients sont disséminées au travers de plusieurs documents nécessitant de dérouler des listes ou de suivre de multiples liens avec jusqu’à 6 étapes pour trouver l’information pertinente.

De plus, la formation a constaté que ces informations peuvent également être peu claires rendant la compréhension du traitement effectués par la firme de Mountain View très difficile. Les finalités sont décrites d’une façon trop générique et que certaines durées de conservation des données ne sont pas indiquées.

Un consentement qui n’est pas éclairé

Google s’est défendu en signalant que les utilisateurs consentent au traitement des données à des fins de personnalisation de la publicité mais la CNIL réfute cet argument estimant que le consentement n’est pas « valablement recueilli pour deux raisons ».

Celui-ci n’est pas éclairé ni même « spécifique » et « univoque ». Premièrement, le client final ne sait pas pourquoi il donne son accord, il ne connaît pas les sites et applications impliquant ces traitements (Search, Youtube, Chrome, Maps, Play Store, Drive…). Deuxièmement, le choix de la collecte est accepté par défaut, pour que le caractère soit univoque, il faut que l’utilisateur effectue une action positive comme accepter le traitement des données et pour que le consentement soit spécifique, il faut que l’accord soit donné de manière distincte pour chaque finalité.

Une amende de 50 millions d’euros

Il a été décidé d’infliger une amende de 50 millions d’euros à Google tout en rendant cette décision publique, une première pour la CNIL qui inaugure avec le géant américain les nouveaux plafonds prévus par le RGPD ainsi que la diffusion de cette sanction. Cette décision se justifie par la place prépondérante de Google sur le marché des smartphones dans l’hexagone ainsi que par la gravité des manquements constatés sur la transparence, l’information et le consentement.

La formation restreinte rappelle ainsi que le client doit garder la maîtrise de ses données et donc doit être suffisamment informé et dans une situation où il choisit de lui même de donner son consentement.

De plus, les faits constatés perdurent encore aujourd’hui, il ne s’agit donc pas d’un manquement ponctuel qui serait délimité dans le temps.