Violation du RGPD : l’UFC Que Choisir veut faire tomber Google

La collecte et l’exploitation de nos données personnelles est au cœur du modèle économique de Google. Mais aujourd’hui, le géant américain et ses petits camarades ne peuvent plus faire n’importe quoi : ils sont dans le collimateur du RGPD.

Entré en vigueur en mai 2018, le règlement européen pour la protection des données personnelles (RGPD) vise à protéger les données des internautes et introduit surtout la notion de consentement obligatoire pour la collecte et l’exploitation de celles-ci.

Or, chez Google, ce consentement est souvent une étape facultative alors que le partage de nos données est obligatoire pour utiliser ses services et même utiliser un smartphone Android, le système d’exploitation de Google qui équipe 80% des terminaux de la planète.

Piqûre de moustique

C’est justement ce point qui ulcère l’UFC Que Choisir, la très active association de défense des consommateurs. Cette dernière a décidé d’engager une action de groupe contre la firme de Mountain View pour non-respect du RGPD.

L'objectif de l'association est de « mettre fin à l'exploitation insidieuse des données personnelles de ses utilisateurs, particulièrement ceux détenant un équipement Android avec un compte Google, et de les indemniser à hauteur de 1.000 euros », selon un communiqué.

« Cette demande d'indemnisation constitue une première en France et en Europe », a dit à l'AFP son président Alain Bazot.

« Si le juge nous donnait raison, c'est potentiellement 28 millions d'utilisateurs d'appareils Android en France qui pourraient avoir droit à une indemnisation », détaille le président de l'association.

Concrètement, l’UFC reproche à Google de « noyer les consommateurs dans des règles de confidentialité interminables » et de « maintenir un véritable parcours du combattant pour agir sur la géolocalisation », selon son communiqué. Géolocalisation souvent activée par défaut sur les smartphones Android.

7 ou 8 ans de procédure

L’association considère que le consentement des utilisateurs est « soutiré » par l'entreprise pour permettre une collecte massive de données « sans que les utilisateurs puissent en avoir conscience » ce qui constitue, selon elle, une « violation manifeste du RGPD ».

Google ne commente pas pour le moment mais il est clair que le vent a tourné. En s’appuyant sur le même règlement, la Cnil (Commission nationale informatique et libertés) a condamné en janvier dernier Google à hauteur de 50 millions d’euros pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Un montant record. Même s’il est perçu comme « une piqûre de moustique » par l’association.

Parallèlement, le tribunal de grande instance de Paris avait condamné Google en première instance le 12 février pour clauses abusives/illicites en matière de données personnelles.

La mise en œuvre du RGPD change véritablement la donne puisqu’auparavant, le montant maximal de l’amende qui pouvait être infligée était de 150.000 euros renouvelable une fois. Pas très dissuasif. Alors que le plafond fixé par le RGPD est de 2% du chiffre d’affaires mondial de l’entreprise sanctionnée.

Reste que l’action de groupe menée par l’UFC est complexe et l’instruction sera très longue. L’association elle-même ne voit pas d’issue avant 7 ou 8 ans. Mais l’essentiel est bien de maintenir une pression forte sur les acteurs du numérique toujours plus avides de données personnelles. Mais aussi n'importe quelle entreprise qui prend des libertés avec nos données personnelles. Et elles sont nombreuses.