Pour la première fois, la Cnil condamne sur la base du RGPD. Et ce n’est nul autre que Google qui en fait les frais et se voit condamné à 50 millions d’euros d’amende pour une liste de manquements longue comme le bras.
Isabelle Falque-Pierrotin quitte la présidence sur un coup d’éclat, qui doit également avoir un petit goût de revanche. Dans une décision qui vient d’être publiée sur le site de la Cnil, on apprend que Google a eu droit à une douloureuse. Classique me direz-vous, Mountain View fait fréquemment l’objet des foudres du gendarme des données personnelles. Certes, mais l’amende a été infligée sur la base de plaintes déposées par les associations None Of Your Business et La Quadrature du Net les 25 et 28 mai 2018.
Des dates loin d’être anodines : c’est en effet le cadre réglementaire du RGPD qui s’applique, et donc le montant maximum sur la base des 4% du chiffre d’affaires du coupable… Google vient donc d’être condamné à une amende de 50 millions d’euros. Rien de moins. Et oui, la Cnil était compétente malgré le principe de guichet unique. « Les échanges avec les autres autorités, notamment l’autorité de protection irlandaise où se situe le siège européen de Google, n’ont pas permis de considérer que Google disposait d’un établissement principal dans l’Union européenne » écrit l’autorité. La Cnil a donc pu enquêter, citant un contrôle en ligne en septembre dernier.
Une première amende RGPD
De quels manquements Google a-t-il donc pu être accusé ? C’est un véritable florilège. Tout d’abord, la Cnil note que les utilisateurs ne sont pas correctement informés des finalités de traitement, de la durée de conservation des données ou des catégories de données utilisées pour la personnalisation de la publicité « excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer ». Informations qui, même trouvées, ne sont pas toujours « claires et compréhensibles », tandis que les finalités et natures des données sont « décrites de façon trop générique et vague ». Et les durées de conservation de certaines données ne sont mentionnées nulle part.
En outre, Google ne dispose pas de la base légale pour les traitements de personnalisation de la publicité… Pas de pot, il s’agit tout de même de sa première source de revenus. « Le consentement n’est pas valablement recueilli pour deux raisons » explique la Cnil. D’un côté, l’information aux utilisateurs est défaillante, comme indiqué précédemment. Elle ne permet pas de « prendre conscience de l’ampleur [des traitements] ». En d’autres termes, le consentement recueilli n’est pas éclairé.
De l’autre, la Cnil estime que le consentement recueilli n’est pas « spécifique » et « univoque ». Si Google propose certaines options de paramétrage, « le RGPD n’est pas pour autant respecté ». Entre cases précochées par défaut, des réglages peu accessibles et un consentement à toutes les finalités d’un bloc, le géant du Web ne satisfait pas les obligations du RGPD qui veulent que le consentement soit valide à condition qu’il soit « donné de manière distincte pour chaque finalité ».