La Cnil inflige une sanction de 50 millions d’euros à Google

C’est au nom du RGPD que la Cnil a reçu la plainte de deux associations, None of Your Business et La Quadrature du Net dès la mise en application du Règlement général sur la protection des données le 25 mai 2018.  Elles reprochaient au géant d’internet « de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs. (…) Notamment à des fins de personnalisation de la publicité. »

Dès septembre 2018, la Cnil a effectué un contrôle en ligne. Elle voulait analyser « le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android ».

La Commission informatique et libertés a constaté que la durée de conservation des données, la finalité de leur traitement et les données utilisées pour la personnalisation de la publicité sont difficilement accessibles et compréhensibles.

La Cnil a également constaté que le consentement des utilisateurs n’est pas valablement recueilli pour traiter leurs données à des fins de personnalisation de la publicité. L’information sur ces traitements est « diluée dans plusieurs documents »… Et « ne permet pas à l’utilisateur de prendre conscience de leur ampleur ».

De plus, selon le RGPD, un consentement doit s’effectuer par un acte positif, C’est-à-dire par exemple en cochant une case qui ne soit pas déjà pré-cochée. Ceci n’est pas le cas lors de la création d’un compte Google puisque l’affichage d’annonces personnalisées est pré-coché par défaut.

Par ailleurs, la Cnil a relevé que pour créer son compte, « l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ». L’utilisateur est donc amené à « consentir en bloc toutes les finalités poursuivies par Google ». Ce qui est contraire au RGPD. Le consentement doit être donné de manière distincte pour chaque finalité.

C’est la première fois depuis la publication du RGPD que la Cnil applique les nouveaux plafonds de sanctions. Rappelons que celles-ci peuvent atteindre jusqu’à 4% du chiffre d’affaires mondial d’une entreprise. La Cnil a estimé ici que les manquements relevés sont graves et relèvent directement des principes essentiels du Règlement : « La transparence, l’information et le consentement ».

Elle tient également à signaler que « compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français, ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte Google. »

Cette condamnation peut faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.

Certes importante, la sanction reste assez négligeable pour plusieurs associations de défense des droits qui notent qu’elle est très éloignée des barèmes du RGPD.