Accéder au contenu principal

RGPD : Google sanctionnée par la Cnil

Manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité : la Cnil prononce une sanction de 50 millions d’euros à l’encontre de Google pour non-respect du règlement général sur la protection des données.

Manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité : la Cnil prononce une sanction de 50 millions d’euros à l’encontre de Google pour non-respect du règlement général sur la protection des données.

Sur la base des investigations menées à la suite de plaintes collectives de deux associations qui reprochaient à la société Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a constaté deux séries de manquements au règlement général sur la protection des données (RGPD).
1) Un manquement aux obligations de transparence et d’information
La Cnil relève tout d’abord que les informations fournies par le moteur de recherche ne sont pas aisément accessibles aux utilisateurs : l’architecture générale de l’information fait que certaines informations essentielles ne sont accessibles qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. En outre, les informations délivrées ne sont pas toujours claires et compréhensibles.
Ainsi, les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google, lesquels sont particulièrement massifs et intrusifs, dont les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités. De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société Google. Enfin, la formation restreinte relève que la durée de conservation de certaines données n’est pas indiquée.
2) Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité
La société Google affirme s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or, la formation restreinte estime que le consentement n’est pas valablement recueilli pour deux raisons.
Premièrement, le consentement des utilisateurs n’est pas suffisamment éclairé : l’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.
Deuxièmement, la formation restreinte constate que le consentement recueilli n’est pas « spécifique » et « univoque ».En effet, lors de la création d’un compte, si l’utilisateur a la possibilité de modifier certains des paramètres, comme les modalités d’affichage des annonces personnalisées, il doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage et l’affichage d’annonces personnalisées est pré-coché par défaut. Or, le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non pré-cochée par exemple). Par ailleurs, pour pouvoir créer son compte, l’utilisateur est conduit à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord. Or, le consentement n’est « spécifique », comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.
En conséquence, la formation restreinte condamne la société Google à une amende de 50 millions d’euros, rendue publique.

– Communiqué de presse de la Cnil du 21 janvier 2019 – « La formation restreinte de la CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société GOOGLE LLC » – https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la
– Délibération de la formation restreinte de la Commission nationale de l’informatique et des libertés n° SAN-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC – https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) – https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-sanction-de-50-millions-deuros-lencontre-de-la