Isabelle Falque Pierrotin achève son mandat au sein de la CNIL par une sanction record : 50 millions d’euros pour manquements aux obligations du RGPD prononcée contre la société Google.
Mise à jour 2021. Depuis cette date, Google a à nouveau été condamné pour des manquements aux RGPD et violation des obligations de protection des données personnelles. La formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.
Les 25 et 28 mai, au lendemain de l’entrée en vigueur du RGPD en Europe, la CNIL est saisie de deux plaintes collectives déposées par l’ONG NOYB et la Quadrature du Net mandatée par plus de dix mille personnes. Sont particulièrement en cause les conditions générales d’utilisation de Google, dont le refus empècherait l’internaute d’utiliser un terminal Android, ainsi que la politique d’analyse comportementale et de ciblage publicitaire.
Après un contrôle en ligne opéré au mois de septembre 2018, la CNIL a pu constater sur la base de ses investigations deux séries de manquements majeurs aux obligations légales : un défaut d’information et de transparence
Une défense énergique de Google
Après avoir refusé les nombreux arguments de Google soulevant une incompétence territoriale au profit de l’Irlande, la CNIL s’est considérée compétente faute d’établissement principal identifiable en Europe. De mème Google a tenté de voir transmettre le dossier au comité européen de la protection des données – CEPD – compétent en matière d’interprétation des textes, ce qui a été également écarté.
En dépit des efforts prodigieux de Google pour tenter de prévenir ce dossier – irrecevabilité des plaintes, atteinte supposée au procès équitable pour des questions linguistiques, distinction entre le système d’exploitation Android et le compte utilisateur, la CNIL a persisté dans son analyse pour aboutir à la constatation d’un certain nombre de manquements notamment un défaut d’information.
RGPD : un défaut d’information
Google se voit reprocher dans ses informations préalables un manque considérable « d’accessibilité, de clarté et de compréhension » en ayant « excessivement éparpillé dans plusieurs documents » ces informations. Des « règles de confidentialité et condition d’utilisation », subdivisées en « conditions d’utilisation » et « règles de confidentialité » accessibles par lien, qui recèlent de boutons et autres liens « à activer pour prendre connaissance d’informations complémentaires. La CNIL cite ainsi trois exemples significatifs sur les publicités, la géolocalisation et la conservation des données.
RGPD : Manque de transparence et de clarté
La CNIL souligne la compilation d’informations à partir de sources éparses – téléphone, Gmail YouTube, Google Analytics, applications, carnet d’adresse, etc. – dont les termes juridiques sont trop généraux pour permettre à l’usager « de mesurer la portée des principaux traitements sur sa vie privée ».
Sur le fondement de l’article 6 du RGPD, la CNIL déduit du défaut d’information et manque de clarté l’absence totale pour l’internaute de pouvoir émettre un quelconque consentement spécifique, excluant ainsi la conformité du traitement de données personnelles.
Contrôle de la CNIL : Une sanction exemplaire
Cinquante millions d’euros et la publicité de la décision trouvent leur fondement dans les manquements continus malgré la mise en demeure de la CNIL auxquels Google n’a pas mis fin spontanément ainsi que l’ampleur des traitements, Google disposant « d’opérations de combinaison au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs ».
Google reste éligible à un recours, procédure devant le Conseil d’Etat dans les quatre mois. Cependant, ce recours n’étant pas suspensif, la société devra régler cette somme au Trésor public.
Google a anticipé cette décision en modifiant ses conditions générales notamment en élisant la CNIL irlandaise comme autorité chef de file tandis que d’autres plaintes dénonçant le ciblage publicitaire imposé sur YouTube, Gmail et Google Search en violation du consentement des internautes demeurent en cours d’analyse.
L’importance de cette décision se mesure à l’aune d’autres plaintes déposées notamment contre Facebook, Amazon, LinkedIn, etc. pour lesquelles des sanctions similaires seraient également envisageables.
Retrouvez nos articles consacrés aux décisions de sanctions de la CNIL :