C’est une première : la CNIL a infligé aujourd'hui une amende sur le fondement du RGPD. Google écope d’une sanction pécuniaire de 50 millions d’euros – un record – suite à des plaintes collectives déposées par La Quadrature du Net et NOYB.
Alors qu’Isabelle Falque-Pierrotin s’apprête à quitter la présidence de la Commission nationale de l’informatique et des libertés (CNIL), voilà une décision qui risque de faire date.
La gardienne des données personnelles explique que l’amende infligée à Google et la publicité qui y est associée « se justifient d’abord par la gravité des manquements constatés ». Ceux-ci concernent tous des « principes essentiels du RGPD » : la transparence, l’information et le consentement des individus.
Selon la CNIL, les outils proposés par le géant américain « privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées ».
Pire : les problèmes épinglés par l’autorité indépendante « perdurent à ce jour ». « Il ne s’agit pas d’un manquement ponctuel, délimité dans le temps », déplore la commission, visiblement décidée à taper du poing sur la table pour sa première sanction infligée sur le fondement du RGPD, entré en application le 25 mai dernier.
Des informations insuffisantes sur la visée publicitaire des traitements
La CNIL avait été saisie dès les 25 et 28 mai 2018 par les associations NOYB (pour « None of your business ») et La Quadrature du Net – cette dernière étant mandatée par près de 10 000 personnes – comme le permet dorénavant la règlementation européenne.
S’en est suivi, dès le mois de septembre, un contrôle en ligne. « L’objectif était de vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google, en analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android », raconte aujourd’hui la CNIL.
Sur la base de ces investigations, l’institution a constaté deux séries de manquements.
Tout d’abord, la commission estime que Google ne respecte pas ses obligations de transparence vis-à-vis de ses utilisateurs.
« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires, déplore la CNIL. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation. »
Outre le fait qu’elles sont difficiles à retrouver, ces informations s’avèrent d’autre part « pas toujours claires et compréhensibles » aux yeux de l’autorité indépendante. Un euphémisme, à lire l’ensemble des reproches de la CNIL : « la durée de conservation de certaines données n’est pas indiquée », « les finalités sont décrites de façon trop générique et vague », « l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement »...
Pour la commission, « les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google ». Un point extrêmement fâcheux, puisque la CNIL en déduit que le consentement des internautes « n’est pas valablement recueilli », faute pour le géant américain d’avoir « suffisamment éclairé » ses clients.
Première sanction sous l'ère du RGPD
Enfin, la CNIL considère que la firme de Mountain View ne respecte pas le RGPD dans la mesure où le consentement qu’il recueille auprès de ses utilisateurs n’est ni « spécifique », ni « univoque ».
La règlementation européenne impose en effet aux responsables de traitements que l’internaute exprime son approbation « de manière distincte pour chaque finalité ». Or « avant de créer son compte, l’utilisateur est invité à cocher les cases « J’accepte les conditions d’utilisation de Google » et « J’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte ». Pour l’autorité indépendante, « un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.) », ce qui est contraire au principe du consentement spécifique.
D’autre part, toujours lors de la création d’un compte, « non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut », pointe la CNIL. Or, en vertu du RGPD, le consentement n’est univoque « qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple) ».
La CNIL affirme avoir pris cette sanction, lundi 21 janvier, au regard du modèle économique de Google. Celui-ci reposant en partie sur la personnalisation de la publicité, « une responsabilité toute particulière incombe dès lors à la société dans le respect de ses obligations en la matière », affirme l’autorité.
Au regard des nombreuses autres plaintes déposées suite à l’entrée en application du RGPD (notamment contre Facebook, Amazon, LinkedIn...), de nouvelles sanctions pourraient tomber dans les prochains mois.
Cette délibération de la CNIL peut faire l’objet d’un recours devant le Conseil d’État. Google avait d’ailleurs initié une telle procédure suite à une précédente amende de 150 000 euros, infligée par la gardienne des données personnelles en janvier 2014. La firme s’était cependant désistée avant tout jugement.
- Consulter la délibération de la CNIL (PDF)
