Juridique : Le géant américain de la recherche est accusé de « manque de transparence, information insatisfaisante et absence de consentement valable pour personnalisation de la publicité. » Il a deux mois pour faire appel devant le Conseil d'Etat.

Mise à jour 21/01/2019 à 17h44 : La CNIL annonce aujourd’hui avoir infligé une amende record d'un montant de 50 millions d'euros à Google LLC au titre du non-respect du RGPD, le règlement européen sur la protection des données. Dans un communiqué diffusé par la Commission cette après-midi, elle explique avoir été saisie suite à des plaintes déposées par les associations la Quadrature du net (LQDN) et None of Your Business (NOYB) au mois de mai 2018.

Les associations reprochaient à Google « de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité. » Sur cette base, la CNIL s’est donc penchée sur les pratiques de Google : au mois de septembre 2018, la formation restreinte de la commission a ainsi procédé à un contrôle en ligne en procédant à la création d’un nouveau compte Google depuis un appareil Android. L’objectif : voir si ce processus est effectivement conforme aux règles de protection des données mises en place au sein du RGPD.

publicité

Trop de flou pour la CNIL

Dans son communiqué, la CNIL reproche ainsi à Google d’être à plusieurs reprises trop vagues sur les informations concernant le traitement des données personnelles des utilisateurs. La commission souligne ainsi que « des informations essentielles (…) sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. » (Pour approfondir le sujet lire Amende Google : les 3 grossières erreurs qui ont fait chuter le géant de la recherche).

Mais le principal problème que relève la CNIL reste l’absence de collecte valable du consentement (lire : Le RGPD exige (enfin) un consentement éclairé) pour les publicités ciblées diffusées par Google. La CNIL donne ainsi raison aux plaintes des associations et explique que le consentement recueilli par Google n’est pas valide pour deux raisons principales : d’une part l’absence ou la difficulté d’accès aux finalités des traitements de données empêche de qualifier le consentement « d’éclairé ».

D’autre part, le consentement recueilli n’est ni «univoque» ni « spécifique ». Derrière ces deux termes, la CNIL s’attaque à une autre pratique mise en place par Google qui active par défaut les publicités sponsorisées lors de la création d’un nouveau compte. Une pratique déloyale aux yeux de la Commission.



Le RGPD tape fort...

C’est la première fois qu’une amende aussi importante est prononcée par une autorité de protection des données. La dernière sanction prononcée par la Cnil date de décembre dernier. Et c'est Bouygues Telecom qui avait alors trinqué. L'amende de 250.000€ infligée alors à l'opérateur sanctionnait des faits constatés avant l'entrée en vigueur du RGPD.



Le coup de massue de la CNIL sur Google est donc la première salve post RGPD. La Commission avait déjà infligé des amendes à Google par le passé, mais uniquement au titre de la loi française informatique et liberté. Cette nouvelle sanction, bien plus sévère, s’explique selon la CNIL par « la gravité des manquements constatés » et le fait que ceux-ci « perdurent à ce jour et sont des violations continues du Règlement. »



...mais se retient



Contacté par ZDNet.fr, la Cnil mentionne toutefois que le barème maximum des 4 % du chiffre d'affaire global n'a pas été retenu, celle-ci "s'étant basé sur les critères de l'article 83 du RGPD" et les éléments particuliers de l'affaire.

Un élément qu'a regretté La Quadrature du Net. Si celle-ci a exprimé sa satisfaction à la suite de la décision de la Cnil, elle a toutefois déploré son montant, jugé "très faible en comparaison du chiffre d’affaire annuel de près de 110 milliards de dollars de Google, du fait que le périmètre de son contrôle s’est limité aux 'traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte à l’occasion de la configuration de son téléphone mobile sous Android'".

"Cette sanction n’est qu’une toute première partie de la réponse à notre plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur Youtube, Gmail et Google Search en violation de notre consentement", a fait savoir l'association à la suite de la publication de la décision de l'Autorité. Celle-ci a indiqué attendre désormais que la Cnil se prononce sur le fond de l'affaire via des "décisions qui devront aborder frontalement la question du 'consentement libre' et prévoir une sanction d’un montant proportionné à la situation, bien au delà de 50 millions d’euros".

De son côté, l'Autorité chargée de la protection des données personnelles assure qu'en dépit de manquements qui "perdurent à ce jour", Google n'est pas astreint à se conformer au RGPD sous peine de jour amendes par exemple. "C'est à Google de prendre en compte les manquements constatés pour modifier ses modes de prise en compte du consentement de ses utilisateurs".



Google a réagi via un de ses porte-parole : « Les utilisateurs s'attendent à des standards élevés de transparence et de contrôle de notre part. Nous sommes déterminés à répondre à ces attentes et aux exigences de consentement du RGPD. Nous étudions la décision de la CNIL afin de déterminer les prochaines étapes. » Et cela pourrait passer par un appel devant le Conseil d'Etat. Google a deux mois pour procéder ainsi s'il le souhaite.



