Le logo de la Commisson nationale de l'informatique et des libertés à Paris, en 2013. La CNIL a infligé une amende record à Google le 21 janvier. LIONEL BONAVENTURE / AFP

Isabelle Falque-Pierrotin pouvait-elle espérer meilleure sortie ? La présidente de la Commission nationale de l’informatique et des libertés (CNIL), fraîchement nommée garante du grand débat national, a vu l’institution qu’elle dirige depuis plus de sept ans condamner, lundi 21 janvier, l’entreprise américaine Google à une amende record de 50 millions d’euros. En cause : sa politique de gestion des données personnelles en France.

Cette condamnation intervient après les plaintes collectives, qui ont fédéré plus de 10 000 signataires, déposées devant la CNIL par les associations None of Your Business et La Quadrature du Net (QDN), alors que le règlement européen pour la protection des données (RGPD) venait tout juste d’entrer en vigueur en Europe, le 25 mai 2018. Un texte censé permettre aux citoyens européens de conserver la maîtrise de leurs données personnelles, notamment face aux géants du numérique, qui, comme Google, les utilisent à des fins commerciales.

Dans sa décision, la CNIL estime que ce droit n’a pas été respecté. Si les utilisateurs des services de Google se voient bien demander leur consentement à l’utilisation de leurs données personnelles – ce qu’exige le RGPD –, ils ne sont « pas en mesure de comprendre l’ampleur des traitements mis en place par Google. Or, ces traitements sont particulièrement massifs et intrusifs », estime la CNIL, en référence à la galaxie des services proposés par le groupe : Google Search, YouTube, Google Maps, Play Store, Google Photos…

Article réservé à nos abonnés Lire aussi Protection des données : citoyens et entreprises de plus en plus vigilants

« Une toute petite partie du problème »

Lire aussi : RGPD : plus de 1 200 violations de données personnelles signalées à la CNIL depuis mai

Elle reproche aussi au géant américain de forcer la main des utilisateurs, en proposant par défaut d’accepter le partage de leurs données. Enfin, alors qu’un accord spécifique pour chaque traitement devrait être proposé, la CNIL accuse Google de contraindre les utilisateurs à « consentir en bloc pour toutes les finalités poursuivies par Google ». Autant de raisons qui l’ont poussée à infliger cette sanction exemplaire pour des manquements qu’elle considère comme « graves ».

Appelé par la CNIL, dès la fin octobre 2018, à présenter les éléments de sa défense, Google n’a pas convaincu l’autorité française. Par la voix d’un porte-parole, la filiale française du moteur de recherche a fait savoir qu’elle étudiait cette décision, « afin de déterminer les prochaines étapes ». Elle dispose d’un délai de quatre mois pour contester cette condamnation devant le Conseil d’Etat.

Article réservé à nos abonnés Lire aussi La Quadrature du Net, les empêcheurs de tourner en rond du numérique

« Si c’est une sanction unique de 50 millions en Europe, ce n’est pas cher payé »

Malgré cette victoire, les plaignants restent sur leur faim. La QDN est ainsi déçue du niveau de l’amende, puisque le RGPD permet d’infliger une pénalité allant jusqu’à 4 % du chiffre d’affaires de l’entreprise condamnée. Celui-ci s’élevait, en 2017, à 110 milliards de dollars (97 milliards d’euros) pour Alphabet, la maison mère de Google.

Par ailleurs, estime Benjamin Bayart, un des fondateurs de l’association, « la CNIL a traité une toute petite partie du problème ». Elle s’est attachée à un cas d’usage particulier en regardant si, au moment de configurer un téléphone Android (le système d’exploitation de Google qui équipe la majorité des smartphones), l’utilisateur peut maîtriser l’utilisation de ses données.

Lire aussi : Données personnelles : action de groupe contre Facebook en France

« Un pouvoir d’action sans équivalent par rapport au passé »

Or, selon M. Bayard, Google a la capacité de dresser un profil complet de ses utilisateurs par bien d’autres moyens. « Sinon, comment se fait-il que, moi, qui n’ai aucun compte chez Google, je me vois proposer l’épisode 3 d’une série, dont j’ai regardé les épisodes 1 et 2 par le passé ? », s’interroge M. Bayart.

Selon lui, l’angle d’attaque choisi par la CNIL était « le plus simple en termes de droit », car « c’est là où Google est complètement en tort ». Pour autant, M. Bayard reconnaît à la CNIL le mérite d’avoir lancé le mouvement contre les géants du numérique : « Si toutes les autorités européennes devaient condamner Google à une amende de 50 millions d’euros, cela commencerait à être intéressant. En revanche, si c’est une sanction unique de 50 millions en Europe, ce n’est pas cher payé. »

Lire aussi RGPD : de premières plaintes ont été déposées

Lire aussi : Protection des données : citoyens et entreprises de plus en plus vigilants

Pour Mathias Moulin, directeur de la protection des droits et des sanctions à la CNIL, cette décision souligne en tout cas les mérites de la nouvelle législation : « Aujourd’hui, la CNIL a un pouvoir d’action sans équivalent par rapport au passé [les amendes étaient plafonnées à 3 millions d’euros], de même que les citoyens, qui ont des droits étendus. »