La CNIL prononce une sanction de 50 millions d’euros à l’encontre de la société Google pour manquement aux obligations de transparence et d’information garanties par le RGPD

Paru dans le N°266 - 31 janvier 2019
Entreprises

En mai 2018, la Commission nationale de l’informatique et des libertés (CNIL) a été saisie de deux plaintes collectives portées par les associations None Of Your Business et La Quadrature du Net contre Google. Elles reprochent notamment à la société :

- que les utilisateurs de terminaux mobiles Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation de ses services et qu’à défaut d’une telle acceptation, ils ne pourraient utiliser leur terminal ;

- de ne pas disposer de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire.
 
En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi informatique et libertés(1) et au Règlement général sur la protection des données (RGPD)(2) des traitements de données personnelles réalisés par Google. Analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android, la CNIL a constaté deux séries de manquements au RGPD.

En premier lieu, la CNIL relève un manquement aux obligations de transparence et d’information (articles 12 et 13 du RGPD), au motif que les informations fournies par Google ne sont pas aisément accessibles et claires pour les utilisateurs. La CNIL cible notamment les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité laquelle est «excessivement disséminée dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible ».

En second lieu, la CNIL relève un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité (articles 4, 6 et 7 du RGPD). « L’information sur les traitements de personnalisation de la publicité est excessivement disséminée dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible » ; « l’information fournie n’est pas suffisamment claire et compréhensible en ce qu’il est difficile pour un utilisateur d’avoir une appréhension globale des traitements dont il peut faire l’objet et de leur portée ». Par conséquent la formation restreinte considère que « le consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas suffisamment éclairé » et par là même il « n’est pas valablement recueilli ».

Par une délibération du 21 janvier 2019(3) la CNIL condamne Google à une amende de 50 millions d’euros. C’est la première fois que l’autorité administrative applique les nouveaux plafonds de sanctions prévus par le RGPD. Elle indique que "Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement".

Informations légales | Données personnelles