vectorfusionart - stock.adobe.co

RGPD : Google écope d’une sanction de 50 M€ de la part de la Cnil

La Commission nationale informatique et libertés estime que Google a failli par manque de transparence, d’information, et par absence de consentement valable pour la personnalisation de la publicité.

C’est une première applicable remarquable du règlement européen de protection des données personnelles. Et il ne manquera probablement de prendre une dimension exemplaire à près huit mois d’entrée en vigueur du règlement général de protection des données (RGPD), même la sanction peut paraître symbolique au regard du chiffre d’affaires du géant du Web.

La Commission nationale informatique et libertés (Cnil) vient ainsi de prononcer une sanction de 50 M€ à l’encontre de Google LLC. Dans un communiqué de presse, elle justifie sa décision par « manque de transparence, information insuffisante et absence de consentement valable pour la personnalisation de la publicité ». Et de détailler.

La formation restreinte de la Cnil, chargée de prononcer les sanctions, « relève que les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs ». Elle estime en fait que « l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations » du RGPD. Pour elle, « des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ». En somme, pour se forger une opinion avisée, il faut passer par une série d’étapes, « impliquant parfois jusqu’à cinq ou six actions ». Trop, pour la formation restreinte de la Cnil qui estime, au passage, que « les informations délivrées ne sont pas toujours claires et compréhensibles ».

C’est l’une des bases sur lesquelles s’appuie la formation restreinte de la Cnil pour estimer que le consentement des utilisateurs « n’est pas valablement recueilli ». La seconde, c’est qu’il n’est pas « spécifique » et « univoque ». Car là encore, à la création de compte, il y a, pour la formation restreinte de la commission, trop de démarches à engager pour accéder à l’ensemble des possibilités de configuration. En outre, « l’affichage d’annonces personnalisées est pré-coché par défaut » : « or le consentement n’est ‘univoque’, comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple) ». Enfin, pour la formation restreinte, le mécanisme de création de compte encourage « l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google », alors que le consentement n’est spécifique, « comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité ».

La Cnil a réagi à des plaintes collectives déposées par les associations None of your business et La quadrature du Net, fin mai dernier. Après échanges avec ses homologues, et notamment en Irlande, elle a jugé que Google ne disposait pas d’un établissement principal dans l’Union européenne, faute de pouvoir de décision sur les traitements « mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google LLC en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile ». Du coup, le système de guichet unique « n’étant pas applicable, la Cnil, au même titre que toutes les autres autorités de protection de l’Union, était compétente pour prendre des décisions concernant les traitements mis en œuvre par Google LLC ».

Dans un communiqué de presse, la Quadrature du net estime que cette sanction « n’est qu’une toute première partie de la réponse à [sa] plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur Youtube, Gmail et google Search en violation [du] consentement [des internautes] ». Même s’il se satisfait « d’une première sanction sur le fondement [des] plaintes collectives », l’association indique attendre « surtout de la Cnil qu’elle prononce très prochainement la suite des décisions auxquelles [sa] plainte appelle », souhaitant à la clé « une sanction d’un montant proportionné à la situation, bien au-delà de 50 M€ ».

Google peut faire appel de la sanction en saisissant le Conseil d’Etat dans un délai de deux mois. Et ce n’est pas son dernier recours. Pour certains juristes, cette décision peut marquer le début d’un long bras de fer juridique susceptible de durer plusieurs années. Qui sera sûrement suivi avec attention par beaucoup.

Pour approfondir sur Réglementations et Souveraineté