RGPD : amende record de 50 millions d’euros à l’encontre de Google en France

La Cnil prononce une sanction record de 50 millions d’euros à l’encontre de Google. Google est sanctionné sur son manque de transparence, une information insatisfaisante et l’absence de recueil  de consentement valable auprès des internautes pour la personnalisation de la publicité.

Activation des sanctions du RGPD 

La Cnil s’appuie pour cela sur le RGPD, le règlement général de la protection des données et pour la première fois à cette échelle des sanctions. La Cnil s’inquiète plus particulièrement des enjeux liés à Android, le système d’exploitation des smartphones le plus répandu dans le monde et en France.

La Cnil constate deux séries de manquements au RGPD. Les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs. La présentation de l’information choisie par Google ne permet pas de respecter les obligations du RGPD.

Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et des liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires.

Devoir réaliser 5 ou 6 actions pour accéder à l’information

L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géo-localisation.

De même, la Cnil constate que les informations délivrées ne sont pas toujours claires et compréhensibles. Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google. Or, la Cnil considère que ces traitements sont massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. En particulier, la Cnil constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.

De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société Google. Enfin, la Cnil relève que la durée de conservation de certaines données n’est pas indiquée.

L’information est diluée dans plusieurs documents

Par ailleurs, la Cnil estime que le consentement des utilisateurs n’est pas valablement recueilli par Google pour les traitements de personnalisation de la publicité. Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.

Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées.

Ensuite, la Cnil constate que le consentement recueilli n’est pas « spécifique » et « univoque ».Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton «  plus d’options », présent avant le bouton « Créer un compte ». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées.

Les cases ne doivent pas être pré-cochées

Le RGPD n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au  paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif tel que cocher une case non pré-cochée par exemple.

Enfin, avant de créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation  de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.). Or le consentement n’est « spécifique », comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.

La Cnil estime que malgré les mesures mises en œuvre par Google avec sa documentation et les outils de paramétrage, les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées.

Un manquement qui dure toujours actuellement 

La Cnil rappelle que l’ampleur des traitements impose de permettre aux utilisateurs de garder la maîtrise de leurs données et donc de suffisamment les informer et de les mettre en situation de consentir valablement. En outre, les manquements retenus perdurent à ce jour et sont des violations continues du RGPD. Il ne s’agit pas d’un manquement ponctuel, délimité dans le temps.