La CNIL inflige une sanction administrative de 50 millions d'euros à Google pour infraction au RGPD.

C’est un record en France, qui montre l’étendue des moyens de sanction qu’offre le Règlement général sur la protection des données. Lundi 21 janvier, la Commission nationale de l’informatique et des libertés a annoncé avoir infligé une amende de 50 millions d’euros à l’encontre de Google. Jamais la CNIL n’avait puni le géant du web à un tel niveau. Le précédent record s’élevait à… 150 000 euros.

D’ailleurs, l’autorité administrative indépendante le reconnaît dans son communiqué de presse. C’est la première fois qu’elle se sert de ces nouveaux leviers pour contraindre une entreprise à rentrer dans le rang.

Quelles infractions ont été relevées ?

Trois manquements ont été identifiés par la CNIL pour justifier cette amende : un manque de transparence, les informations fournies par Google n’étant « pas aisément accessibles pour les utilisateurs » ;  une information insatisfaisante, qui n’est pas « toujours claire et compréhensible » ; et une absence de consentement valable pour la personnalisation de la publicité.

Concernant l’accès à l’information, la CNIL regrette que des « informations essentielles […] soient excessivement disséminées dans plusieurs documents ». Il faut que l’internaute navigue entre plusieurs boutons et liens pour accéder aux indications « pertinentes ». Ainsi, la CNIL a dénombré cinq ou six actions préalables à effectuer avant d’arriver aux explications adéquates. C’est trop.

isabelle-falque-pierrotin-cnil
Isabelle Falque-Pierrotin, la présidente de la CNIL. // Source : Mariano Bordon

Au sujet de la qualité de l’information, les traitements réalisés par Google « sont décrits de façon trop générique et vague », tout comme les données concernées. En clair, l’internaute « n’est pas en mesure de comprendre l’ampleur des traitements », alors que ceux-ci «  sont particulièrement massifs et intrusifs, en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées. »

Enfin, au sujet du consentement, la CNIL observe que le consentement des internautes « n’est pas suffisamment éclairé » (du fait des manquements précédents), que des cases d’approbation sont pré-cochées par défaut (comme l’affichage des publicités personnalisées) et que les conditions d’utilisation sont présentées de telle façon qu’il est obligé de les accepter en bloc, au lieu de faire eu cas par cas.

Pourquoi une telle sanction ?

Ces fautes ne portent pas sur des points anecdotiques : au contraire, elles portent sur « des principes essentiels  » du Règlement. Leur absence « prive les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée ». Or, « l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données. »

La CNIL a aussi tenu compte de certaines particularités, comme le poids du système d’exploitation Android en France (« ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte Google à l’occasion de l’utilisation de leur smartphone ») et le modèle économique de la firme de Mountain View, basé sur la publicité, qui de fait lui impose « une responsabilité toute particulière ».

Le parcours d ‘un utilisateurs sur Android a été pris en compte.

Enfin, l’autorité administrative indépendante fait observer que cette sanction ne punit pas « un manquement ponctuel, délimité dans le temps », mais plusieurs infractions qui sont toujours en cours à ce jour et qui constituent donc des « violations continues » du RGPD. Pour toutes ces raisons, il apparaissait nécessaire à la CNIL de frapper fort, même si ce n’est pas le coup le plus rude que la CNIL aurait pu porter.

Dans le cadre du Règlement général sur la protection des données, Google s’expose à des sanctions dont le montant peut atteindre 4 % de son chiffre d’affaires annuel mondial total de l’exercice précédent. Il est toutefois à noter que les peines prononcées par la CNIL sont susceptibles de faire l’objet d’un appel devant le Conseil d’État, la plus haute juridiction administrative française.

Qui trouve-t-on à l’origine de l’action ?

Dès l’application du Règlement général sur la protection des données personnelles dans l’espace européen, le 25 mai, deux associations sont immédiatement montées au créneau. Dès le 25 mai, l’association NOYB (None of Your Business), fondée par le juriste et activiste autrichien Maximilian Schrems, a lancé des actions contre Google et Facebook (dont ses filiales WhatsApp et Instagram).

Trois jours plus tard, le 28, la Quadrature du Net est aussi descendue dans l’arène en optant pour la forme du recours collectif. Dès le mois d’avril, l’association française a annoncé ses intentions contre Google, Apple, Facebook, Amazon et Microsoft. Au final, ce sont plus de 10 000 internautes qui se sont rassemblés derrière l’étendard de la Quadrature du Net.

Quelles sont les réactions ?

Sur Twitter, NOYB a salué le verdict de la CNIL. Dans un communiqué, Maximilian Schrems a ajouté être « très heureux qu’une autorité européenne de protection des données utilise pour la première fois les possibilités du RGPD pour sanctionner des violations manifestes de la loi ». Le « travail de protection des droits fondamentaux porte ses fruits », a-t-il conclu.

Plus critique, la Quadrature du Net relève que « cette sanction n’est qu’une toute première partie de la réponse à notre plainte contre Google » et souhaite que la CNIL « réponde rapidement au reste de notre plainte, au sujet de YouTube, Gmail et Google Search, en imposant cette fois-ci une sanction d’un montant proportionné à cette entreprise ainsi qu’à l’ampleur et à la durée de la violation de nos droits » .

Pour l’association, qui rappelle que le chiffre d’affaires d’annuel de Google s’élève à près de 110 milliards de dollars, la CNIL est « parfaitement muette » sur l’enjeu du consentement, qui n’est valide que s’il est librement donné. En clair, «  la CNIL explique clairement que Google ne peut pas nous obliger à accepter son ciblage publicitaire afin de pouvoir utiliser ses services ».

Or pour l’association, l’autorité administrative indépendante a «  sanctionné Android sur des arguments dont l’enjeu est assez faible ». « Même si nous nous réjouissons d’une première sanction sur le fondement de nos plaintes collectives, […] nous attendons surtout de la CNIL qu’elle prononce très prochainement la suite des décisions auxquelles notre plainte appelle », conclut-elle.

(mise à jour avec la réaction de la Quadrature du Net)

Partager sur les réseaux sociaux