La CNIL condamne Google une fois de plus pour manque de transparence

CNIL condamne Google

La CNIL condamne Google une fois de plus pour manque de transparence

CNIL condamne Google

Condamnation Google : Le géant de la Silicone Valley doit payer une amende de 50 millions d’euros pour avoir violé les dispositions du RGPD (règlement européen pour la protection des données). Telle a été la sanction prononcée, en janvier dernier, par la CNIL (Commission Nationale de l’Informatique et des Libertés) contre le géant américain de la recherche.

Cette décision est le résultat d’une instruction lancée par la CNIL suite aux plaintes déposées par deux organismes : None Of Your Business et La Quadrature du Net. Ces derniers accusent la firme américaine de ne pas informer clairement et suffisamment par rapport à l’usage des données personnelles de ses utilisateurs. Accusation et condamnation contre laquelle Google compte évidemment faire appel. Pourquoi la CNIL condamne Google ?

Protection de données personnelles : Que reproche-t-on à Google ?

En mai 2018, juste après l’entrée en vigueur de la RGPD en Europe. Et, les plaintes collectives déposées par les deux associations sur la table de CNIL reprochaient à Google « de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité. Étant donné que le système dit du « guichet unique » ne pouvait être appliqué pour cette requête, la commission a donc été jugée compétente pour instruction du dossier et la CNIL condamne Google.

C’est donc sur cette base qu’elle a effectué un contrôle en ligne au mois de septembre 2018. Et ce, en créant un nouveau compte Google depuis un appareil Android. Le but était de vérifier si les pratiques de Google en ce qui concerne la collecte des données personnelles étaient conformes au RGPD. En effet, suite à cette enquête, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés a découvert deux principaux manquements au RGPD.

Premier manquement de Google : Manque de transparence 

Selon les dispositions du RGPD, les utilisateurs doivent être clairement informés de la raison pour laquelle une entreprise collecte leurs données. Et aussi de l’usage qu’elle en fait. Or, d’après les investigations, l’autorité responsable de la protection de la vie privée constate ceci. ”Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ».

Au final, l’utilisateur ne peut accéder aux informations pertinentes qu’après plusieurs étapes, « impliquant parfois jusqu’à cinq ou six actions ». En somme, la CNIL ne nie pas que Google informe l’utilisateur de l’utilisation qui sera faite de ses données, mais l’information est difficilement accessible. Google ne respecte donc pas les obligations du RGPD en matière de transparence et d’information.

Second manquement reproché par la CNIL : consentement non valide

Sans un accord préalable de l’utilisateur, aucune entreprise n’a le droit de collecter ses données personnelles. En effet, c’est l’une des nouvelles règles établies par le RGPD. Donc, il faut un consentement « éclairé », « spécifique » et « univoque » de la part de l’internaute. D’après la CNIL, l’autorisation recueillie par Google est non valide pour deux raisons principales.

La première se rapporte au fait qu’il y a une absence ou une difficulté d’accès aux finalités des traitements de données. Donc, il n’est pas possible de dire que le consentement est « éclairé » dans ces conditions. Elle pointe également du doigt les formulations utilisées : « les informations délivrées ne sont pas toujours claires et compréhensibles ».

D’autre part, il n’est ni « univoque » ni « spécifique ». Derrière ces deux expressions, la CNIL, qui condmane Google, dénonce une autre pratique mise en place par Google. En effet, il s’agit du fait que les publicités sponsorisées sont activées par défaut lors de la création d’un nouveau compte. De ce fait, l’utilisateur donne en seul clic son autorisation sans être informé pour tous les services Google. En gros, la CNIL accuse Google de contraindre les utilisateurs à « consentir en bloc pour toutes les finalités poursuivies par Google ».

Autant de raisons qui l’ont amenée à décréter cette sanction de 50 millions d’euros d’amende en application du RGPD. Sanction, qu’elle estime d’ailleurs exemplaire pour des fautes aussi graves.

50 millions d’euros d’amende : une sanction trop chère payée ?

Google est la première société à avoir été lourdement sanctionné par la CNIL pour entrave au RGPD. En effet, la transparence, l’information et le consentement constituent les principes de base du RGPD. Une entreprise qui ne les respecte pas peut être sanctionnée à hauteur de 4 % de son chiffre d’affaires. Et, La Quadrature du Net estime que le montant de l’amende est très faible. Surtout en comparaison du chiffre d’affaires annuel de près de 110 milliards de dollars de Google. 

Pour la Commission Nationale de l’Informatique et des Libertés, le montant de l’amende infligé à Google est équitable par rapport à la gravité des fautes commises. Encore qu’il ne s’agit pas, selon elle, de violations ponctuelles, mais de fautes continues au règlement, qui perdurent d’ailleurs encore toujours. De plus, l’amende a été également fixée par rapport à la prépondérance de Google dans les smartphones. Étant donné que des milliers de comptes Google sont ouverts chaque jour par des utilisateurs qui souhaitent profiter du système d’exploitation mobile Android qui appartient à la société fautive. Donc, au final, ce n’est pas trop cher payé pour le leader mondial de la recherche.

Google à l’intention de faire appel suite à la condamnation de la CNIL

La CNIL a déclaré dans son communiqué de presse que « Les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi illimitées ». Pour elle, ces violations sont assez graves, mais elle estime toutefois que Google peut, s’il le souhaite, faire appel de cette sanction en saisissant le Conseil d’Etat.

Google a déjà fait savoir par le biais d’un porte-parole qu’il compte faire appel. En effet, il explique les raisons pour lesquelles il conteste la décision de la CNIL. Et, il déclare avoir mis sur pied « une méthode de recueil de consentement pour les annonces personnalisées conforme au RGPD. Un système aussi clair et simple que possible, basé sur le cadre réglementaire et des tests d’expérience utilisateur ».

La CNIL pas compétente ?

De plus, il pense également que la CNIL n’est pas compétente pour instruire ce dossier. En effet, pour lui, du moment où le siège social européen de l’entreprise est en Irlande, c’est alors l’autorité irlandaise de protection des données, qui aurait dû se charger du cas. Mais, de son côté, la CNIL soutient qu’elle est compétente. En effet, elle affirme sanctionner l’activité de Google en Europe et non son siège social. C’est donc surement sur ce point juridique que le Conseil d’État devra alors se prononcer.

Google n’en fini plus de subir les foudres de la commission qui condamne également le célèbre moteur de recherche pour abus de position dominante.

Affaire à suivre !

Write a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *