Suite à une plainte remontant à fin mai 2018, la CNIL vient d’infliger une amende record de 50 millions d’euros à Google, en application du RGPD, pour manque de transparence, information insatisfaisante et absence de consentement valable pour personnalisation de publicité. Et la formation restreinte rappelle que ces manquements perdurent encore aujourd’hui, justifiant l’importance de la sanction.
Fin mai 2018, quelques jours après la mise en application du RGPD, les associations La Quadrature du Net et None of your business déposaient deux plaintes contre Google. Elles reprochaient à ce dernier ne pas disposer d’une base juridique valable pour traiter des données personnelles des utilisateurs de ses services, notamment pour personnaliser les publicités. Le système dit du « guichet unique » n’était pas applicable pour cette plainte, la CNIL a donc été déclarée compétente pour prendre des décisions concernant les traitements mis en œuvre contre Google. La CNIL a d’abord procédé, en septembre 2018, à un contrôle en ligne pour vérifier la conformité au RGPD et à la loi informatique et libertés de Google pour les traitements de données personnelles. Elle a ainsi analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile Android. Et a constaté deux séries de manquements.
Manque de transparence et mauvais recueil du consentement
Premièrement, un manque de transparence et d’information des utilisateurs quant à leurs données personnelles a été constaté. « Des informations essentielles […] sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires », note la CNIL dans un communiqué. Les utilisateurs ne seraient, de plus, pas forcément en mesure de comprendre l’ampleur des traitements réalisés par Google, qui les décrirait « de façon trop générique et vague » selon la formation restreinte. La durée de conservation des données n’est, de surcroit, pas indiquée.
Deuxièmement, la CNIL estime que le consentement des utilisateurs pour traiter leurs données n’est pas « valablement recueilli pour deux raisons ». D’abord, comme évoqué plus haut, il est impossible de prendre clairement conscience du volume de données traitées, puisque l’utilisateur doit donner son accord pour chacun des services de Google (moteur de recherche, YouTube, Maps, Home, etc.). Ensuite, le consentement recueilli n’est pas « spécifique » et « univoque ». C’est-à-dire, que l’utilisateur, s’il veut modifier les paramètres d’affichage des publicités à la création de son compte, doit faire la démarche de cliquer sur « plus d’options » pour réaliser ce paramétrage. Et les cases du formulaire sur l’acceptation d’annonces personnalisées sont pré-cochées par défaut. Or le RGPD indique qu’un consentement n’est « univoque » que lorsque l’utilisateur réalise une action positive. Enfin, l’utilisateur est invité à consentir en bloc les CGU de Google et ses règles de confidentialités, ce qui ne donne pas lieu à un consentement « spécifique » pour chaque finalité.
Suite à cette décision, Google n'a pour l'heure pas encore fait savoir si il comptait faire appel devant le Conseil d'Etat.