21/11
La CNIL inflige une amende inédite à Google
Une première. La Commission nationale de l’informatique et des libertés a prononcé hier une sanction de 50 millions d’euros à l’encontre de Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
Après avoir reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de La Quadrature du Net (« LQDN ») reprochant à la firme de Mountain View de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs, la CNIL a procédé en septembre 2018 à un contrôle en ligne. "L’objectif était de vérifier la conformité à la Google, en analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android" a t-elle fait savoir.
Après avoir mené l’enquête, la formation restreinte de la Commission a constaté deux séries de manquements au RGPD. Le premier concerne les informations fournies par Google, celles-ci ne "sont pas aisément accessibles et claires pour les utilisateurs". La CNIL cible notamment les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité. Ces dernières "sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires". Autrement dit, l’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.
L’autre manquement relevé par la CNIL concerne "l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité". La formation note que Google
invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité mais celui-ci n’est pas suffisamment éclairé : "L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur. Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées", explique la Commission qui constate par ailleurs que le consentement recueilli n’est pas « spécifique » et « univoque ».
Par conséquent, la CNIL condamne Google à une amende de 50 millions d’euros. C’est la première fois que l’autorité administrative applique les nouveaux plafonds de sanctions prévus par le RGPD. "Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement", a t-elle justifié.