C’est une première : la CNIL a infligé aujourd'hui une amende sur le fondement du RGPD. Google écope d’une sanction pécuniaire de 50 millions d’euros – un record – suite à des plaintes collectives déposées par La Quadrature du Net et NOYB.
Alors qu’Isabelle Falque-Pierrotin s’apprête à quitter la présidence de la Commission nationale de l’informatique et des libertés (CNIL), voilà une décision qui risque de faire date.
La gardienne des données personnelles explique que l’amende infligée à Google et la publicité qui y est associée « se justifient d’abord par la gravité des manquements constatés ». Ceux-ci concernent tous des « principes essentiels du RGPD » : la transparence, l’information et le consentement des individus.
Selon la CNIL, les outils proposés par le géant américain « privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées ».
Pire : les problèmes épinglés par l’autorité indépendante « perdurent à ce jour ». « Il ne s’agit pas d’un manquement ponctuel, délimité dans le temps », déplore la commission, visiblement décidée à taper du poing sur la table pour sa première sanction infligée sur le fondement du RGPD, entré en application le 25 mai dernier.
Des informations insuffisantes sur la visée publicitaire des traitements
La CNIL avait été saisie dès les 25 et 28 mai 2018 par les associations NOYB (pour « None of your business ») et La Quadrature du Net – cette dernière étant mandatée par près de 10 000 personnes – comme le permet dorénavant la règlementation européenne.
S’en est suivi, dès le mois de septembre, un contrôle en ligne. « L’objectif était de vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google, en analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android », raconte aujourd’hui la CNIL.
Sur la base de ces investigations, l’institution a constaté deux séries de manquements.
Tout d’abord, la commission estime que Google ne respecte pas ses obligations de transparence vis-à-vis de ses utilisateurs.
« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires, déplore la CNIL. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation. »
Outre le fait qu’elles sont difficiles à retrouver, ces informations s’avèrent d’autre part « pas toujours claires et compréhensibles » aux yeux de l’autorité indépendante. Un euphémisme, à lire l’ensemble des reproches de la CNIL : « la durée de conservation de certaines données n’est pas indiquée », « les finalités sont décrites de façon trop générique et vague », « l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement »...
Pour la commission, « les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google ». Un point extrêmement fâcheux, puisque la CNIL en déduit que le consentement des internautes « n’est pas valablement recueilli », faute pour le géant américain d’avoir « suffisamment éclairé » ses clients.
Première sanction sous l'ère du RGPD
Enfin, la CNIL considère que la firme de Mountain View ne respecte pas le RGPD dans la mesure où le consentement qu’il recueille auprès de ses utilisateurs n’est ni « spécifique », ni « univoque ».
La règlementation européenne impose en effet aux responsables de traitements que l’internaute exprime son approbation « de manière distincte pour chaque finalité ». Or « avant de créer son compte, l’utilisateur est invité à cocher les cases « J’accepte les conditions d’utilisation de Google » et « J’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte ». Pour l’autorité indépendante, « un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.) », ce qui est contraire au principe du consentement spécifique.
D’autre part, toujours lors de la création d’un compte, « non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut », pointe la CNIL. Or, en vertu du RGPD, le consentement n’est univoque « qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple) ».
La CNIL affirme avoir pris cette sanction, lundi 21 janvier, au regard du modèle économique de Google. Celui-ci reposant en partie sur la personnalisation de la publicité, « une responsabilité toute particulière incombe dès lors à la société dans le respect de ses obligations en la matière », affirme l’autorité.
Au regard des nombreuses autres plaintes déposées suite à l’entrée en application du RGPD (notamment contre Facebook, Amazon, LinkedIn...), de nouvelles sanctions pourraient tomber dans les prochains mois.
Cette délibération de la CNIL peut faire l’objet d’un recours devant le Conseil d’État. Google avait d’ailleurs initié une telle procédure suite à une précédente amende de 150 000 euros, infligée par la gardienne des données personnelles en janvier 2014. La firme s’était cependant désistée avant tout jugement.
- Consulter la délibération de la CNIL (PDF)
Commentaires (21)
#1
Et surtout le raisonnement pour accrocher Google LLC (US) et pas la filiale irlandaise est très intéressant, mais va directement poser la question de comment faire exécuter la décision si Google ne veut pas le faire spontanément.
#2
#3
Bon, 50M d’euros, c’est une bonne étape. Mais pour une entreprise qui a eu un résultat net de 9192 M de dollars rien que sur Q3 2018, ils doivent avoir très peur !
" />
https://abc.xyz/investor/static/pdf/2018Q3_alphabet_earnings_release.pdf?cache=d…
Ca fait en gros 102M par jour… Donc au pire du pire, il perdent quoi, 3⁄4 d’une journée ?
#4
666 minutes
" />
https://twitter.com/Sebbaz_/status/1087372809565814784
#5
C’est à rapporter sur le CA en France pour que ce soit parlant. Surtout que le RGPD ne s’applique pas que en France. SI tous les pays de l’UE s’y mettent, ça va vite faire cher.
#6
Au moment où a été saisie la CNIL (mai 2018), c’était bien Google LLC (donc US) qui était responsable du traitement des données. Ce n’est qu’à partir de demain que Google Irlande devient responsable comme cela a été signalé par google à ces utilisateurs qui ont un compte (et sûrement les autres).
Cette précision de la CNIL explique aussi pourquoi c’est elle et pas son homologue irlandaise qui était compétente ici.
Je vais lire la suite de la décision…
#7
En theorie oui, mais en pratique, tu crois que c’est à cause d’une amende ridiculement petite même si ce n’est que sur la base de la France que Google va changer ses pratiques ? Bah, je serais eux, c’est plus économique de payer cette amende tous les ans ;) C’est une entreprise globale, elle s’en fout d’une amende locale si petite même si elle semble importante.
Même si tous les pays de l’UE (28) infligeaient 50m d’amende, cela ne fait “que” 1400M d’€ d’amende. C’est 15% du résultat net d’Alphabet sur un trimestre. Ce qui donne environ 2 semaines de boulot à la très grosse louche. Ca ferait déjà plus mal, mais peut être moins que de changer ses pratiques ?
Ce que je veux dire, c’est que je ne me rends pas compte du volume de travail à réaliser du côté de Google pour se mettre en conformité et ce que ça peut avoir comme impact sur leur business. Mais ce que je pense, c’est qu’on n’est pas vraiment dans la bonne catégorie d’amende là… Quand les US infligent une amende à une société européenne, ça pique plus ! (Par exemple, la BNP : 8Mds d’euros).
Enfin, c’est un bon début !
#8
Je pense qu’ils sont quand même en train de serrer les fesses ouai. Surtout que c’est que l’un des volets de la plainte de LQDN. Il reste encore des choses à traiter pour la CNIL. (SI j’ai bien compris le communiqué de LQDN).
Et puis, Google est pas le seul à faire ça. Les sites qui mettent les cookies actifs par défaut sont nombreux. Eux aussi ils doivent avoir une petite suée là.
#9
Ce qui est dommage dans cette histoire c’est que la CNIL n’est intervenu que sous la plainte de deux 2 assos a l’agenda douteux et pas vraiment impartial…
A la CNIL ils devraient surveiller d’eux-meme ce genre de chose, par exemple via une plateforme en ligne pour que les utilisateurs puissent notifier les sites qui ne respectent pas la DGRP.
On ne devrait pas dépendre d’assos douteuses pour cela.
#10
#11
Profitons en, la crême est à Versailles avec Manu aujourd’hui !
#12
#13
#14
À quel passage fais-tu allusion ?
Le point 39 parle d’abord de fin janvier 2019 puis revient vers la date du 22 janvier. Ces 2 dates ont été données consécutivement et dans cet ordre par Google à la CNIL.
Mais la décision complète étant un document scanné, je ne peux pas faire de recherche dans le doc et trouver facilement une autre référence à 2019. J’ai donc pu rater un passage dans ce gros document.
Remarque : je pense que Google s’est dépêché de transmettre la responsabilité des traitements à Google Irlande quand il s’est aperçu à l’occasion de cette affaire que sinon, il pouvait être poursuivi dans chacun des pays de l’UE en ce qui concerne le RGPD. Les dates semblent concorder.
#15
#16
La riposte est En Marche :
https://twitter.com/Elysee/status/1087421299939524609
#17
#18
#19
Ça va leur faire tout drôle de devoir respecter la loi
" /> .
On notera la communication de l’Élysée qui sait faire de la pub pour Google au bon moment :https://twitter.com/Elysee/status/1087421299939524609
#20
oui ca mais qui connait ca ? on n’a pas eu un seul spot de pub ou un minimum de comm la dessus.
#21