BEIJING, CHINA – AUGUST 07: The Google Inc. logo is illuminated in front of Google Beijing Office on August 7, 2018 in Beijing, China. According to China Daily, Google Inc. plans to offer cloud services in Mainland China, and it is in talks with several Chinese companies, such as Tencent Holdings Ltd and Inspur Group. (Photo by VCG)

La Cnil inflige à Google une amende record de 50 millions d’euros

Le régulateur français a condamné Google à une somme record pour plusieurs violations du RGPD. Sa précédente amende s’élevait à 150 000 euros.

(Photo by VCG)

Grâce au levier du règlement général sur la protection des données (RGPD) européen, la Commission nationale informatique et libertés (Cnil) a changé de dimension dans son combat contre les excès des géants du numérique. Le 21 janvier, le régulateur français des activités numériques a donc prononcé une sanction record de 50 millions d’euros contre Google pour plusieurs manquements au RGPD, selon un communiqué publié par l’organisme. Une première en France, puisque la dernière amende prononcée contre l’entreprise s’élevait à… 150 000 euros, en 2014, après deux ans de procédure.

Publicité

Que reproche donc la Cnil à Google, cette fois-ci ? Trois chefs d’accusation, énumérés dans le communiqué de l’organisme : "manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité". Plus concrètement, écrit la Cnil, "des informations essentielles […] sont excessivement disséminées dans plusieurs documents", alors que le RGPD oblige les plateformes numériques à expliquer clairement à leurs usagers la manière dont sont exploitées et stockées leurs données. D’autre part, ces informations, une fois dénichées dans l’entrelacs de sous-menus (la Cnil liste "cinq ou six actions" nécessaires), "les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités". En clair : Google ne veut vraiment pas que vous compreniez l’usage qui est fait de vos données, alors que le règlement européen l’y oblige.

Sur le volet du consentement, même topo : si Google estime s’appuyer sur l’accord de ses utilisateurs pour utiliser leurs données à des fins de personnalisation publicitaire, la Cnil constate pour sa part que "le consentement n’est pas valablement recueilli pour deux raisons". Premièrement, le consentement des utilisateurs n’est pas suffisamment "éclairé", puisqu’ils ne peuvent pas connaître la liste exhaustive des services qui exploiteront leurs données. Deuxièmement, le consentement n’est ni "spécifique" ni "univoque", puisque l’utilisateur doit faire la démarche d’aller régler ses paramètres de compte pour décocher l’affichage d’annonces (opt-out) et accepter les conditions d’exploitation de ses données par Google en bloc. Le RGPD impose l’inverse : l’utilisateur doit impérativement effectuer "un acte positif", comme cocher une case (opt-in) pour prouver son consentement, et le faire au cas par cas.

Le diable est dans les détails

Pour les non-spécialistes, l’amende de 50 millions d’euros prononcée par la Cnil peut sembler disproportionnée comparée à ces petits détails d’interface. Il n’en est rien. Comme le rappelle le régulateur, les questions de mécanisme de consentement et de facilité d’accès au menu des informations sur le traitement des données sont des manquements graves, "qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement" et "privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées." D’autre part, ces manquements perdurent, explique la Cnil, preuve que Google n’a pas particulièrement l’intention de faire du zèle vis-à-vis du RGPD. Circonstance aggravante selon la Cnil : l’hégémonie du système d’exploitation mobile Android en France (82,7 % des parts de marché au troisième trimestre 2018), qui impose encore plus d’exemplarité à Google.

Publicité

Ainsi donc, voilà le géant américain condamné à une amende significative. Une première pour la Cnil, qui explique avoir "fait application des nouveaux plafonds de sanctions prévus par le RGPD". L’amende peut sembler élevée, mais l’organisme a néanmoins fait preuve de clémence : le RGPD prévoit, on le rappelle, des amendes pouvant atteindre 4 % du chiffre d’affaires mondial annuel de l’entreprise concernée dans le cas d’un manquement grave. En se basant sur les 109 milliards de dollars de chiffre d’affaires déclarés par l’entreprise en 2017, Google s’exposait donc à une amende maximale de… 4, 3 milliards de dollars. À cette échelle, 50 millions relèvent presque du pourboire…

Même si l’amende aurait pu être plus sévère (la sanction n’est par ailleurs pas définitive puisqu’elle peut encore être jugée en appel devant le Conseil d’État), plusieurs activistes à l’origine de la procédure se sont déjà félicités de la décision. Les 25 et 28 mai dernier, la Cnil recevait en effet les plaintes des associations None of Your Business (NYOB), fondée par le militant autrichien Maximilen Schrems, bientôt rejointe par la Quadrature du Net, forte d’un recours collectif de près de 12 000 internautes. une stratégie payante que n’a pas manqué de souligner NYOB dans un tweet puis dans un communiqué : "nous avons découvert que de larges entreprises comme Google" interprètent différemment la loi "et n’ont que superficiellement adapté leurs produits. Les autorités doivent leur faire comprendre que prétendre se plier aux règles n’est pas suffisant."

Par Thibault Prévost, publié le 22/01/2019

Pour vous :