L’autorité de protection des données personnelles en France (CNIL) a condamné Google à une amende de 50 millions d’euros pour défaut d’information de ses utilisateurs concernant l’exploitation de leurs données personnelles à des fins publicitaires.
Lundi 21 janvier, l’autorité de protection des données personnelles en France (CNIL) a condamné le géant du net Google à une amende de 50 millions d’euros pour infraction au Règlement général sur la protection des données (RGPD). L’amende, infligée au moteur de recherche est la première du genre donnée par une autorité de régulation européenne du fait de ce texte, applicable depuis mai dernier.
La CNIL a ainsi estimé que si la firme américaine demandait à ses utilisateurs leur consentement à l’utilisation de leurs données personnelles, ces derniers « ne sont pas en mesure de comprendre l’ampleur des traitements mis en place » – une exigence justement mise en place par le RGPD. Or, d’après elle, ces derniers sont « particulièrement massifs et intrusifs ».
L’autorité reproche au moteur de recherche d’avoir automatiquement fait souscrire les internautes à un régime de partage de données sur différents services comme Play Store, YouTube, Maps, Google Search ou encore Google Photos. Et le prix à payer est cette fois élevé : la nouvelle régulation européenne autorise des sanctions jusqu’à 4% du chiffre d’affaires mondial de l’entreprise incriminée.
« C’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD », souligne l’autorité française. « Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement. »
« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens (…) pour prendre connaissance d’informations complémentaires », déplore la CNIL.
Il fallait en effet parfois 5 ou 6 actions pour arriver à l’information recherchée, et la formulation des conditions d’exploitation des données personnelles des utilisateurs étaient peu claires ou compréhensibles. « Les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée », note l’autorité.
Google avait été appelé dès le mois d’octobre 2018 à justifier ces manquements – et avait alors avancé que seuls 7 % des Français utilisent un compte Google, et sont donc concernés par cette exploitation abusive de données. Une défense qui n’aura su convaincre le gendarme du numérique français. Pour autant, l’amende reste raisonnable (elle aurait donc pu dépasser les 4 milliards de dollars d’après la règle des 4%).
Le géant américain va certainement en faire appel, mais il a surtout modifié ses conditions d’utilisation pour rendre l’autorité du numérique Irlandaise (pays accueillant sa maison mère européenne) compétente en cas de litiges similaires. En changeant cela, Google se place techniquement hors du cadre d’action de la CNIL pour de futures décisions.