Données personnelles : la Cnil inflige à Google une amende record de 50 millions d’euros

Entré en vigueur en mai dernier, le règlement européen pour la protection des données personnelles (RGPD) fait aujourd’hui sa « première victime » en France (et même en Europe). Rappelons que ce texte vise à protéger les données des internautes et introduit surtout la notion de consentement obligatoire pour la collecte et l’exploitation de celles-ci.

La Cnil accroche ainsi sur son tableau de chasse un acteur de taille : Google. Et la sanction est pour une fois à la hauteur : 50 millions d’euros. Avant le RGPD, le pouvoir de sanction de la Commission nationale informatique et Libertés était plafonné à 300.000 euros… Le RGPD permet une sanction maximale de 4% du chiffre d'affaires de l'entreprise condamnée.

« C’est la première fois que la Cnil fait application des nouveaux plafonds de sanctions prévus par le RGPD. Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement », souligne l’institution (texte de référence ici).

Google est donc condamné pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité », explique la Commission. Cette dernière avait été saisie par l’association None Of Your Business et La Quadrature du Net. « Dans ces deux plaintes, les associations reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité ».

Traitements de données « particulièrement massifs et intrusifs »

Afin d’instruire les plaintes, la Cnil a procédé en septembre 2018 à un contrôle en ligne afin de vérifier la conformité à la loi informatique et libertés et au RGPD des traitements de données personnelles réalisés par la firme américaine.

Deux séries de manquements au RGPD ont été identifiés. Le premier met en avant un manque patent de transparence d’information. « Les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation », explique la Commission.

Par ailleurs, « les informations délivrées ne sont pas toujours claires et compréhensibles. Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google. Or ces traitements sont particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées », assène la Cnil.

Second manquement identifié : « un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité ». Traduction, l’absence de collecte valable du consentement pour les publicités ciblées diffusées par Google.

« Google invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or la formation restreinte estime que le consentement n’est pas valablement recueilli pour deux raisons.

Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur. Ensuite, la formation restreinte constate que le consentement recueilli n’est pas « ‘spécifique’ » et ‘univoque’ ».

Informations diluées, peu compréhensibles 

Si l’utilisateur « a la possibilité de modifier certains des paramètres associés au compte », le RGPD « n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD ».

« Nous ne nions pas que Google informe » l’utilisateur qui ouvre un compte de l’exploitation qui sera faite de ses données, a expliqué Mathias Moulin, le directeur de la protection des droits et des sanctions à la Cnil. « Mais l’information n’est pas aisément accessible, elle est disséminée dans différents documents" que l’internaute ne prendra jamais le temps de consulter, a-t-il indiqué.

La Cnil précise que Google a mis en œuvre des mesures correctives mais elle estime que « les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées ».

Pire, les manquements retenus « perdurent à ce jour et sont des violations continues du Règlement. Il ne s’agit pas d’un manquement ponctuel, délimité dans le temps ». Google a deux mois pour faire appel de cette condamnation mais seulement en saisissant le Conseil d’Etat.

« Nous sommes déterminés à répondre à ces attentes et aux exigences de consentement du RGPD. Nous étudions la décision de la CNIL afin de déterminer les prochaines étapes », explique un porte-parole.