La CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société Google pour manquement aux obligations de transparence et d’information garanties par le RGPD

En mai 2018, la Commission nationale de l’informatique et des libertés (CNIL) a été saisie de deux plaintes collectives portées par les associations None Of Your Business et La Quadrature du Net contre Google. Elles reprochent notamment à la société :

- que les utilisateurs de terminaux mobiles Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation de ses services et qu’à défaut d’une telle acceptation, ils ne pourraient utiliser leur terminal ;

- de ne pas disposer de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire.
 
En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi informatique et libertés(1) et au Règlement général sur la protection des données (RGPD)(2) des traitements de données personnelles réalisés par Google. Analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android, la CNIL a constaté deux séries de manquements au RGPD.

En premier lieu, la CNIL relève un manquement aux obligations de transparence et d’information (articles 12 et 13 du RGPD), au motif que les informations fournies par Google ne sont pas aisément accessibles et claires pour les utilisateurs. La CNIL cible notamment les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité laquelle est «excessivement disséminée dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible ».

En second lieu, la CNIL relève un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité (articles 4, 6 et 7 du RGPD). « L’information sur les traitements de personnalisation de la publicité est excessivement disséminée dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible » ; « l’information fournie n’est pas suffisamment claire et compréhensible en ce qu’il est difficile pour un utilisateur d’avoir une appréhension globale des traitements dont il peut faire l’objet et de leur portée ». Par conséquent la formation restreinte considère que « le consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas suffisamment éclairé » et par là même il « n’est pas valablement recueilli ».

Par une délibération du 21 janvier 2019(3) la CNIL condamne Google à une amende de 50 millions d’euros. C’est la première fois que l’autorité administrative applique les nouveaux plafonds de sanctions prévus par le RGPD. Elle indique que "Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement".
 
Notes
puce note (1) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
puce note (2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
puce note (3) Délibération de la formation restreinte de la CNIL n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC
 
 
Informations légales | Données personnelles