La Cnil prononce une sanction record de 50 millions d’euros à l’encontre de Google. Google est sanctionné sur son manque de transparence, une information insatisfaisante et l’absence de recueil de consentement valable auprès des internautes pour la personnalisation de la publicité.
Activation des sanctions du RGPD
La Cnil s’appuie pour cela sur le RGPD, le règlement général de la protection des données et pour la première fois à cette échelle des sanctions. La Cnil s’inquiète plus particulièrement des enjeux liés à Android, le système d’exploitation des smartphones le plus répandu dans le monde et en France.
L’architecture de l’information retenue par Google est trop complexe pour les utilisateurs
Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et des liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires.
Devoir réaliser 5 ou 6 actions pour accéder à l’information
L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géo-localisation.
« Les traitements de Google sont massifs et intrusifs »
De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société Google. Enfin, la Cnil relève que la durée de conservation de certaines données n’est pas indiquée.
L’information est diluée dans plusieurs documents
Par ailleurs, la Cnil estime que le consentement des utilisateurs n’est pas valablement recueilli par Google pour les traitements de personnalisation de la publicité. Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.
L’utilisateur est dans l’impossibilité de prendre connaissance de la totalité des services qui le concernent
Ensuite, la Cnil constate que le consentement recueilli n’est pas « spécifique » et « univoque ».Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton « plus d’options », présent avant le bouton « Créer un compte ». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées.
Les cases ne doivent pas être pré-cochées
Le RGPD n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif tel que cocher une case non pré-cochée par exemple.
Google demande un accord en bloc de l’usage des données et non spécifique comme l’exige le RGPD
La Cnil estime que malgré les mesures mises en œuvre par Google avec sa documentation et les outils de paramétrage, les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées.
Un manquement qui dure toujours actuellement
La Cnil rappelle que l’ampleur des traitements impose de permettre aux utilisateurs de garder la maîtrise de leurs données et donc de suffisamment les informer et de les mettre en situation de consentir valablement. En outre, les manquements retenus perdurent à ce jour et sont des violations continues du RGPD. Il ne s’agit pas d’un manquement ponctuel, délimité dans le temps.