La CNIL impose une amende de 50 millions d'euros à Google pour non-respect du RGPD
L'agence française de protection de données, la CNIL, vient de condamner Google à 50 millions d'euros d'amende pour ses pratiques abusives dans la collecte et l'utilisation de données personnelles à des fins publicitaires sur Android. Il s'agit de l'une des premières sanctions liées à l'application du Règlement général sur la protection des données.
Julien Bergounhoux
La CNIL a annoncé le 21 janvier au soir avoir pris la décision de sanctionner Google par une amende de 50 millions d'euros pour infraction au Règlement général sur la protection des données (RGPD). Sont mis en cause le manque de transparence dans les informations fournies et l'absence de consentement valide (par un acte explicite) des utilisateurs dans le cadre de la personnalisation des contenus publicitaires sur le système d'exploitation Android.
Un manque de transparence
Cette sanction fait suite à deux plaintes déposées auprès de la CNIL les 25 et 28 mai par les organisations La Quadrature du Net et None of your Business. La Quadrature avait été mandatée par 12 000 personnes dans ce dossier. Le dépôt des plaintes a coïncidé avec l'entrée en application du RGPD le 25 mai. La CNIL a procédé à une "inspection en ligne" en septembre 2018, sur laquelle s'est basée son jugement.
Les reproches faits à Google incluent le fait qu'il n'indique pas clairement à quoi serviront les données collectées, le temps durant lequel elles seront conservées ou le type de données utilisées pour la personnalisation, ces informations étant disséminées dans plusieurs documents auxquels l'accès est rendu sciemment difficile. L'utilisateur n'est par ailleurs pas clairement informé du nombre de services concernés par cette collecte de données. Enfin, son consentement n'est pas recueilli de façon explicite (par le choix de cocher une case, plutôt que de laisser celle-ci pré-cochée).
Une amende jugée trop faible
Si la Quadrature du Net s'est félicitée de cette décision, elle indique dans un communiqué de presse regretter le montant de l'amende, relativement faible par rapport à ce que prévoit le RGPD. Il peut aller jusqu'à 4% du chiffre d'affaires mondial de l'entreprise, ce qui donnerait une amende supérieure à 4 milliards de dollars dans ce cas.
La Quadrature indique espérer que ce montant soit appliqué dans le cadre du reste de sa plainte, qui concerne les services YouTube, Gmail et Google Search. Elle souhaite aussi que soit abordé le problème de la liberté du consensement : c'est-à-dire le fait qu'il soit aujourd'hui impossible d'utiliser les services de Google sans autoriser l'entreprise à exploiter les données utilisateurs.
Google veut sortir de la juridiction de la CNIL
Google ne reste évidemment pas passif face à cette décision. Le géant américain va certainement en faire appel, mais il a surtout modifié ses conditions d'utilisation pour rendre ses locaux en Irlande aptes à statuer sur ces problématiques. En effet, le RGPD confie habituellement la gestion d'un dossier dans tous les pays de l'Union européenne à l'agence de protection des données du pays où se situe son siège.
Cependant, le siège de Google dans l'UE (situé en Irlande) n'était jusqu'au 22 janvier pas habilité à prendre de décisions, c'est pourquoi il a été déterminé que chaque agence nationale pouvait statuer individuellement. En changeant cela, Google se place techniquement hors du cadre d'action de la CNIL pour de futures décisions, l'agence irlandaise de protection des données devant prendre le relai.
SUR LE MÊME SUJET
La CNIL impose une amende de 50 millions d'euros à Google pour non-respect du RGPD
Tous les champs sont obligatoires
0Commentaire
Réagir
