Google doit bien verser 50 millions d'euros pour non-respect du RGPD

Ses arguments n'ont pas réussi à convaincre le Conseil d'Etat. Google doit bien verser les 50 millions d'euros d'amende prononcés par la Cnil en janvier dernier pour ses pratiques abusives dans la collecte et l'utilisation des données personnelles à des fins publicitaires sur Android.

 

Partager
Google doit bien verser 50 millions d'euros pour non-respect du RGPD

Google n'échappera pas aux 50 millions d'euros prononcés par la Commission nationale de l'informatique et des libertés (Cnil) pour non-respect du Règlement général sur la protection des données (RGPD). Les arguments de la firme de Mountain View n'ont pas réussi à convaincre le Conseil d'Etat qui a rendu sa décision le 19 juin 2020.

Un manque de clarté
L'autorité protectrice de la vie privée avait condamné l'entreprise américaine le 21 janvier 2019 pour ses pratiques abusives dans la collecte et l'utilisation des données personnelles à des fins publicitaires sur Android. Il s'agit de l'amende la plus grosse jamais infligée par la Cnil. A elle seule, elle représente 98 % du montant total des sanctions prononcées en 2019.

Le juge administratif confirme la position de la Cnil. "Son organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité requises par le RGPD, alors même que les traitements en cause sont particulièrement intrusifs par leur nombre et la nature des données collectées", tranche le Conseil d'Etat. Il note également que l'information disponible est parfois "lacunaire" s'agissant notamment de la durée de conservation des données et des finalités des différents traitements.

L'utilisateur qui souhaite créer un compte Google pour utiliser Android est d'abord invité à accepter que ses informations soient traitées conformément à un paramétrage par défaut, incluant des fonctions de personnalisation de la publicité. Le Conseil d'Etat relève que l'information qui lui est fournie à cette étape est "générale" et "diluée" au milieu d'informations relatives à "d'autres finalités". De ce fait, le juge confirme l’appréciation de la Cnil selon laquelle l’information relative au ciblage publicitaire n’est pas présentée de manière "suffisamment claire" et "distincte" pour que le consentement de l’utilisateur soit valablement recueilli. Le fait que l'utilisateur puisse obtenir une information complémentaire sur le ciblage publicitaire en cliquant sur un lien ne suffit pas non plus.

Une sanction justifiée par la gravité des faits
Dans son recours, Google arguait également que la sanction de 50 millions d'euros était disproportionnée par rapport aux fautes commises. "Compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de la société Google LLC", le Conseil d’État juge au contraire que le montant de l'amende est justifié.

Dernier désaccord : la compétence de la Cnil française. Google estimait que l'autorité de protection des données irlandaise (la Data Protection Commission) était seule compétente pour contrôler ses activité dans l'Union européenne en tant que "guichet unique". Or à la date de la sanction, la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur les traitements de données, l'entreprise Google implantée aux États-Unis détenant seule ce pouvoir.

"Le système du guichet unique n’était pas donc applicable et la Cnil était compétente pour sanctionner les manquements de Google relatifs au traitement des données des utilisateurs français d’Android", conclut le Conseil d'Etat. Depuis, Google a modifié ses conditions d'utilisation pour rendre ses locaux en Irlande aptes à statuer sur ces problématiques. Le 4 février 2020, la Data Protection Commission a d'ailleurs ouvert une enquête sur la gestion des données de géolocalisation par le géant technologique suite à de nombreuses plaintes d'associations de consommateurs européennes.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS