Publicité

RGPD: la Cnil impose à Google une sanction record de 50 millions d'euros

C'est la première sanction d'un géant américain du Web dans le cadre du RPGD, et la plus grosse amende jamais prononcée par la Cnil. MIKE SEGAR/REUTERS

C'est la plus forte amende jamais prononcée par la Cnil dans le cadre du règlement européen sur la protection des données. L'autorité estime que le géant américain du Web n'informe pas assez les internautes sur le traitement de leurs données.

La Cnil, l'autorité de protection des données en France, a condamné Google lundi à une sanction de 50 millions d'euros. Le géant du Web est accusé de manquement à ses obligations dans le cadre du RGPD, le règlement général européen de protection des données, en vigueur depuis mai 2018. Des plaintes avaient été déposées à son encontre par les associations None Of Your Business (NOYB, fondée par Max Schrems, avocat autrichien connu pour son engagement en faveur de la vie privée en ligne) et la Quadrature du Net. Elles reprochaient à Google de ne pas disposer d'une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de publicités ciblées. C'est la première fois qu'un géant américain du Web est sanctionné dans le cadre du RPGD en Europe, et la plus grosse amende jamais prononcée par la Cnil française.

Un défaut d'informations

La Cnil, qui a mené un contrôle officiel en septembre 2018, a constaté plusieurs manquements au RGPD. Elle a choisi d'analyser le parcours d'un utilisateur qui créé un compte Google lors de la configuration d'un smartphone sous Android, le système d'exploitation mobile du géant américain.

En premier lieu, elle estime que Google a manqué à ses obligations de transparence et d'information vis-à-vis du traitement des données des internautes européens. Le géant dispose bien d'un «centre de sécurité», sorte de tableau de bord permettant aux utilisateurs de ses services de limiter la collecte de leurs informations. Néanmoins, il est jugé trop complexe et flou par la Cnil. «Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu'il est nécessaire d'activer pour prendre connaissance d'informations complémentaires», précise l'autorité. «L'information pertinente n'est accessible qu'après plusieurs étapes, impliquant parfois jusqu'à cinq ou six actions.» La Cnil estime donc que les utilisateurs n'ont pas d'informations suffisantes afin de «comprendre l'ampleur des traitements» des données par Google. Cette exploitation est d'ailleurs jugée «massive et intrusive» par l'autorité.

En second lieu, la Cnil estime que Google ne recueille pas suffisamment le consentement des internautes dans le cadre du traitement de leurs données à des fins de personnalisation de la publicité. En effet, les habitudes des utilisateurs des services de Google (moteur de recherche, YouTube, le Play Store, la boutique d'applications des smartphones Android...) sont surveillées afin de leur proposer des réclames adaptées à leurs intérêts. Là encore, la Cnil estime que Google ne donne pas assez d'informations aux internautes. «Par exemple, dans la rubrique dédiée à la «Personnalisation des annonces», il n'est pas possible de prendre connaissance de la pluralité des services, sites, applications impliquées dans ces traitements et donc du volume de données traitées et combinées», note l'autorité.

Une sanction record

Elle reproche enfin à Google de forcer le consentement de ses utilisateurs. Lorsqu'un internaute créé un compte, le simple fait d'accepter les conditions d'utilisation (condition nécessaire à la création d'un compte) conduit à approuver par défaut les finalités poursuivies par Google dans le cadre du traitement de ses données. Cela concerne notamment la personnalisation de la publicité. Le RGPD exige pourtant que tout consentement à l'exploitation d'informations personnelles soit «explicite»: c'est-à-dire que l'on doit accepter explicitement une utilisation précise de ses données.

C'est la première fois que la Cnil impose une amende aussi importante à l'encontre d'une entreprise. Jusqu'ici, son record était de 400.000 euros, une sanction prononcée envers l'application de VTC Uber. Le règlement européen des données donne le droit à la Cnil, en théorie, d'imposer une sanction allant jusqu'à 4% du chiffre d'affaires annuel mondial d'une société. Google a réalisé 109,7 milliards de dollars de chiffre d'affaires en 2017, soit environ 96 milliards d'euros. La sanction dévoilée lundi équivaut donc à peu près à 0,05% de ses revenus annuels. Son montant a été décidé par la Cnil en fonction de différents critères comme la gravité des manquements constatés, du niveau de revenus de la société ainsi que le nombre d'utilisateurs concernés par les failles jugées, en vertu de l'article 83 du RGPD.

«Cette sanction n'est qu'une toute première partie de la réponse à notre plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur YouTube, Gmail et Google Search en violation de notre consentement», a souligné la Quadrature du Net dans un communiqué. «Nous attendons donc de la CNIL qu'elle réponde rapidement au reste de notre plainte, au sujet de YouTube, Gmail et Google Search, en imposant cette fois-ci une sanction d'un montant proportionné à cette entreprise ainsi qu'à l'ampleur et à la durée de la violation de nos droits.»

Interrogé par le Figaro, Google a indiqué «examiner la décision afin de déterminer les prochaines étapes.» «Les utilisateurs s'attendent à des standards élevés de transparence et de contrôle de notre part», a ajouté l'entreprise. «Nous sommes déterminés à répondre à ces attentes et aux exigences de consentement du RGPD.» Google a désormais quatre mois pour former un recours devant le Conseil d'État, s'il souhaite contester cette décision.

RGPD: la Cnil impose à Google une sanction record de 50 millions d'euros

S'ABONNER
Partager

Partager via :

Plus d'options

S'abonner
83 commentaires
  • Amada

    le

    Le problème c'est que moi, citoyenne lambda j'ai autre chose à foutre que de me taper des heures de lecture inutiles (à la sortie du RGPD, que pas grand monde ne se donnait la peine de dérouler le titre au complet, c'était à chaque clic !).
    Lectures inutiles puisqu'en général je n'y comprends pas grand chose et que, de toute façon, si je veux le service, je dois signer pour la totalité (et qu'on ne vienne pas me dire tu n'as qu'à te passer du service à l'heure où la dématérialisation m'oblige à passer par Internet pour mes démarches administratives).
    Donc au lieu de faire des lois obligeant les collecteurs de données à me demander mon consentement, on ferait mieux de faire des lois.
    De toute façon c'est pareil partout (à La Poste, réduite à des robots, pour les recommandés, un écran t'affiche un choix entre R1, R2 et R3. Différence ? A part le prix, c'est à toi de l'imaginer).

À lire aussi