La CNIL condamne Google à une amende record de 50 millions d’euros. Le gendarme français des données personnelles reproche au géant américain de ne pas informer suffisamment clairement ses utilisateurs sur l’exploitation de leurs données personnelles.
La CNIL n’a pas tardé pour utiliser les dispositions du nouveau règlement européen sur la protection des données personnelles (RGPD) et c’est Google qui en fait les frais. Le gendarme français des données personnelles vient d’infliger une amende de 50 millions d’euros à Google. Un nouveau record dans l’Hexagone, très loin des 150 000 euros déjà infligés à des géants de l’Internet que sont Google et Facebook. Ce montant correspondait alors au maximum que l’institution peut infliger, mais la donne a changé avec l’entrée en vigueur le 25 mai du RGPD.
Le nouveau texte permet d’infliger des sanctions allant jusqu’à 4 % du chiffre d’affaires mondial pour manquement aux obligations de protection des données personnelles des citoyens européens, rappelle l’AFP. La Commission nationale de l’informatique et des libertés est la première instance de régulation européenne à sanctionner une grande plateforme Internet mondiale en utilisant ces nouvelles dispositions. Elle reproche au géant américain de ne pas informer suffisamment clairement ses utilisateurs sur l’exploitation de leurs données personnelles. « Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité », peut-on lire sur le site de la CNIL.
Cette sanction fait suite aux deux plaintes séparées déposées à la CNIL contre Google par l’association française de défense des libertés sur Internet La Quadrature du Net et None Of Your Business (NOYB). Cette organisation fondée par le militant autrichien de la protection des données Max Schrems avait été l’une des premières à s’attaquer aux géants de la tech. Elle avait déposé quatre plaintes contre Google (Android), Facebook et ses filiales WhatsApp et Instagram pour « consentement forcé ».
Plusieurs manquements vis-à-vis des utilisateurs
Les associations reprochaient dans ces deux plaintes à la firme de Mountain View de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité, précise la CNIL. Pour son enquête, cette dernière a accompli le parcours que doit faire un nouvel utilisateur de smartphone Android, pour créer un compte Google et se servir de son appareil. « Nous ne nions pas que Google informe » l’utilisateur qui ouvre un compte de l’exploitation qui sera faite de ses données, a expliqué à l’AFP Mathias Moulin, le directeur de la protection des droits et des sanctions à la CNIL. « Mais l’information n’est pas aisément accessible, elle est disséminée dans différents documents » que l’internaute ne prendra jamais le temps de consulter, précise-t-il. Il ajoute qu’il « faut parfois jusqu’à cinq clics pour accéder à une information » estimant qu’au final, Google ne proposait pas une information « claire et compréhensible ».
Le gendarme français des données personnelles revient plus en détail sur les infractions relevées sur son site. La CNIL explique avoir constaté « deux séries de manquements au RGPD » qui l’ont poussé à prononcer une telle sanction. Si Google veut faire appel de cette sanction, il devra désormais saisir le Conseil d’État. « Malgré les mesures mises en œuvre par Google (documentation et outils de paramétrage), les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi illimitées », résume la CNIL.