La CNIL prononce une sanction record de 50 millions d'euros contre Google

Alors qu’en France la plus haute sanction prononcée par la CNIL (Commission Nationale de l’Informatique et des Libertés) était de 400 000 euros contre la société Uber en fin d’année 2018, un nouveau record vient récemment d’être atteint. En effet, le lundi 21 janvier 2019, la CNIL a infligée une amende de 50 millions d’euros contre Google, pour infraction au RGPD (Règlement Général sur la Protection des Données).

 

Dès lors, on assiste en France à un évènement assez important, puisque c’est la première fois qu’une sanction aussi forte a été ordonnée, rendue possible par l’adoption du RGPD le 25 mai 2018 permettant aux autorités de contrôle d’infliger une amende beaucoup plus élevée, pouvant aller jusqu’à 4% du chiffre d’affaire annuel mondial total de l’exercice précédent. Bien que l’amende est loin d’être la sanction maximale que la CNIL puisse mettre en place (Google ayant réalisé un chiffre d’affaires de 96 milliards d’euros en 2017, la sanction de la CNIL représente 0,05% de ses revenus annuels), elle n’en reste pas moins suffisamment élevée pour dissuader les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) d’ignorer l’application du RGPD.

 

L’origine de cette condamnation

 

Dès le 25 mai 2018, soit le jour d’adoption du RGPD, deux associations se sont attaqués aux GAFAM : l’association NOYB (None of Your Business) fondée par le juriste autrichien Maximilian Schrems, et la Quadrature du Net. Tous deux ont porté plainte contre Google en lui reprochant “de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité”.

 

Ainsi, la CNIL a commencé à instruire ces plaintes et à mener un contrôle officiel de Google en septembre 2018. En choisissant d’analyser le parcours d’un utilisateur qui crée un compte Google lors de la configuration d’un smartphone sous Android, la CNIL en a conclu que plusieurs manquements au RGPD prévalaient, trois pour être précis.

 

  • Tout d’abord, la CNIL a constaté que Google n’a pas respecté son obligation de transparence puisque les informations fournies par celle-ci ne sont “pas aisément accessibles pour les utilisateurs”. Dès lors, l’accès à des informations dites essentielles sont, selon la CNIL, “excessivement disséminées dans plusieurs documents” ce qui force les utilisateurs à effectuer pas moins de 5 ou 6 actions pour arriver à des explications pertinentes et adéquates, ce qui est une procédure beaucoup trop lourde et longue selon l’autorité de contrôle

 

  • Ensuite, la CNIL dénonce une qualité d’information qui n’est pas satisfaisante car elle n’est pas “toujours claire et compréhensible”. En effet, les traitements de données exécutés ainsi que les données personnelles concernées sont considérés comme étant “décrits de façon trop générique et vague”. Du point de vue de l’utilisateur, ce dernier ne serait alors “pas en mesure de comprendre l’ampleur des traitements” ce qui est un fait assez grave étant donné que ces derniers sont “particulièrement massifs et intrusifs, en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées”.

 

  • Enfin, la CNIL dénote une absence de consentement valable pour la personnalisation de la publicité, car ce consentement ne serait “pas suffisamment éclairé” selon la CNIL et que consentement demandé à l’utilisateur doit être accepté en bloc, au lieu de laisser la possibilité d’accepter au cas par cas.

 

La nécessité d’imposer une lourde sanction

 

Ainsi, le bilan effectué est concluant : Google n’a pas respecté l’application du RPGD en délaissant et privant “les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée”. Cela est d’autant plus grave car “l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtris de leurs données”.

Avec l’afflux constant de personnes créant des comptes Google chaque jours (des milliers de Français chaque jour “à l’occasion de l’utilisation de leur smartphone”), la responsabilité de la société Google est alors engagée sur faits particulièrements graves que la CNIL a décidé de sanctionner. Cette dernière justifie sa sanction en affirmant qu’il ne s’agit pas d’une punition pour un “manquement ponctuel, délimité dans le temps” mais bien d’une condamnation pour “violations continues” du RGPD qui devait être frappée d’une amende assez forte.

 

Et maintenant ?

 

Face à cette condamnation, l’association NOYB a salué “la décision de la CNIL d’avoir sanctionné Google”. Son fondateur Maximilian Schrems aurait ajouté être “très heureux qu’une autorité européenne de protection des données utilise pour la première fois les possibilités du RGPD pour sanctionner des violations manifestes de la loi”.

De son côté, la Quadrature du Net a annoncé que “cette sanction n’est qu’une toute première partie de la réponse à notre plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur Youtube, Gmail et Google Search en violation de notre consentement”.

 

Google, quand à lui, a affirmé “examiner la décision afin de déterminer les prochaines étapes”. Celle-ci a dès lors un délai de 4 mois afin de former un recours devant le Conseil d’État, si elle souhaite s’opposer à cette décision.

 

Source : https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la