RGPD : la CNIL inflige une amende record de 50 millions d’euros à Google

La CNIL, autorité en charge de faire respecter les principes du RGPD en France, vient d’infliger une amende record à Google, estimant que le géant américain du web ne fournit pas suffisamment d’informations aux internautes quant au traitement de leurs données personnelles. C’est la première fois que l’autorité impose une amende aussi importante à une entreprise, le record étant jusqu’ici détenu par une sanction prononcée à l’encontre de l’application VTC Uber, soit 400 000 euros.
En théorie, l’application du Règlement Général pour la Protection des Données autorise la CNIL à infliger des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une société. En 2017, Google a réalisé un chiffre d’affaires de 109,7 milliards de dollars, soit près de 96 milliards d’euros. La sanction infligée au géant du numérique équivaut donc à environ 0,05 % de ses recettes annuelles. Pour définir le montant de l’amende, la CNIL a tenu compte de différents critères tels que la gravité des manquements constatés et leur répercussion pour les internautes, mais également le nombre d’internautes impactés par ces failles et enfin les revenus de l’entreprise. Des critères définis par l’article 83 du RGPD.

Des plaintes déposées par la Quadrature du Net et NOYB

Lundi 21 janvier 2019, la CNIL, Commission Nationale de l’Informatique et des Libertés, a donc condamné Google à une sanction de 50 millions d’euros. Une amende attribuée au géant du web pour manquement à ses obligations telles qu’elles sont définies par le RGPD, le Règlement général européen de protection des données, entré en vigueur en mai 2018. Des plaintes en ce sens avaient été déposées par l’association la Quadrature du Net, ainsi que None Of Your Business (NOYB), organisation fondée par Max Schrems, avocat autrichien particulièrement engagé dans la protection de la vie privée en ligne. Toutes deux reprochaient à Google d’utiliser à des fins de publicités ciblées les données personnelles des utilisateurs de ses services, sans base juridique valable et sans en informer convenablement au préalable les internautes.

La plus importante sanction prononcée par la CNIL, en France

Cette amende de 50 millions d’euros est la plus grosse sanction jamais prononcée par la CNIL en France, depuis l’entrée en vigueur du RGPD. C’est également la première fois qu’un géant américain du web fait l’objet d’une sanction depuis le déploiement du RGPD, en Europe.

Des manquements lors de la configuration d’un smartphone sous Androïd

La Commission Nationale de l’Informatique et des Libertés a constaté de nombreux manquements au cadre législatif défini par le RGPD, notamment lors d’un contrôle officiel mené en septembre 2018. Pour ce faire, la CNIL a analysé le parcours type d’un utilisateur créant un compte Google lors de la configuration d’un smartphone sous Androïd – Androïd étant le système d’exploitation mobile créé par le géant américain du web -. En analysant ce parcours effectué par le détenteur d’un téléphone portable Androïd qui le configure pour la première fois, la CNIL a estimé que Google manquait à ses obligations tant en termes de transparence que d’informations vis-à-vis de l’utilisation des données personnelles des internautes européens.

Ainsi, le “centre de sécurité” proposé aux internautes par Google, sorte de tableau de bord permettant aux utilisateurs de ses services de limiter la collecte de leurs données personnelles, est jugé bien trop complexe et flou par la CNIL. Pour l’autorité, « des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ».

L’information n’est accessible qu’après plusieurs étapes

La Commission Nationale de l’Informatique et des Libertés souligne également le fait que « l’information n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions ». Pour la CNIL, les internautes n’ont donc pas accès de manière directe et claire aux informations leur permettant de « comprendre l’ampleur des traitements » de leurs informations personnelles par le géant du web. « L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions », dénonce également l’autorité, qui juge « massive et intrusive » cette exploitation des données personnelles des internautes par Google.

Le recueillement du consentement des internautes n’est pas convenablement effectué

L’amende record infligée au géant du web par la CNIL tient également compte du fait que Google ne prend la peine de recueillir de manière suffisante le consentement des internautes à propos du traitement de leurs données personnelles à des fins de publicité ciblée. Google surveille en effet les habitudes des utilisateurs de son moteur de recherche, mais également de YouTube ainsi que Play Store, de manière à leur proposer des publicités adaptées à leurs centres d’intérêt. La commission estime que là encore, Google manque à ses obligations informatives vis-à-vis des internautes. Il n’est par exemple pas possible « dans la rubrique dédiée à la “personnalisation des annonces”, (…) de prendre connaissance de la pluralité de services, sites, applications impliquées dans ces traitements et donc du volume de données traitées et combinées », dénonce l’autorité.

Le consentement des internautes forcé par Google

Enfin, la CNIL reproche à Google de forcer le consentement des internautes ayant recours à ses services. L’autorité a ainsi constaté que dès lors qu’un utilisateur crée un compte et accepte les conditions d’utilisation (conditions obligatoires à la création d’un compte), alors cette simple acceptation amène à approuver, par défaut, les objectifs de Google quant au traitement de ses données personnelles. Le RGPD est pourtant très clair à ce sujet : le consentement des internautes concernant l’exploitation de leurs données personnelles doit se faire de manière « explicite », c’est-à-dire par l’acceptation précise de chaque finalité se rapportant au traitement de ses informations personnelles.