La Cnil a bien l’intention de faire appliquer le règlement européen sur la protection des données (RGPD), entré en vigueur en mai dernier. Et cela passe par une sanction exemplaire contre Google : la Commission informatique et libertés a infligé une sanction de 50 millions d’euros à l’encontre du moteur de recherche. C’est l’amende la plus élevée jamais décidée par le régulateur français des données, autant dire que les griefs sont d’importance.
« Manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité » : voici ce qui a motivé la Cnil à sanctionner Google, suite au dépôt de plaintes de la Quadrature du Net et de l’association noyb peu de temps après la mise en route du RGPD. Pour mener son enquête, réalisée en septembre dernier, la Cnil a analysé le parcours d’un utilisateur en créant un compte Google lors de la configuration d’un appareil Android.
Le premier reproche détaillé par la Commission est la difficulté d’accéder aux informations collectées par Google : « des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents ».
Autrement dit : il faut fouiller dans les réglages pour y retrouver ses petits, notamment dans le cas où un utilisateur veut tout savoir de la collecte des informations de personnalisation des publicités, illustre la Cnil (tout cela peut être géré dans le portail Mon compte de Google).
« Les informations délivrées ne sont pas toujours claires et compréhensibles », assène la Commission. Difficile pour les utilisateurs d’appréhender « l’ampleur des traitements mis en place par Google ». Or, ces derniers sont « massifs et intrusifs » (le moteur de recherche gère une vingtaine de services) et les finalités de l’exploitation commerciale des données sont décrites de façon « trop générique et vague ». La Cnil déplore l’absence de mention de la durée de conservation de certaines données.
Le consentement est un autre problème : d’une part, il est impossible de prendre connaissance de la pluralité des services, sites et applications qui bénéficient du traitement des données. D’autre part, le consentement n’est pas « spécifique et univoque », écrit le régulateur. Il faut en effet cliquer sur le bouton « plus d’options » pour par exemple paramétrer plus finement les modalités d’affichage des publicités personnalisées. De plus, les cases sont pré-cochées et lors de la création d’un compte, l’utilisateur est amené à tout accepter d’un bloc.
Le RGPD exige un consentement « explicite » de l’utilisateur : manifestement, ce n’est pas le cas alors que Google a une grande responsabilité ; son système d’exploitation occupe en effet une place prépondérante en France.
Pour la première fois, la Cnil s’appuie donc sur les nouveaux plafonds de sanctions prévus par le RGPD. Le montant de l’amende ne représente peut-être qu’une toute petite fraction des quelque 110 milliards de dollars de chiffre d’affaires de l’entreprise, mais c’est un coup de semonce qui va certainement pousser d’autres entreprises à respecter la lettre et l’esprit du règlement européen (lire : Apple accusée de ne pas respecter le règlement européen sur la protection des données).
Google a désormais quatre mois pour déposer un recours devant le Conseil d’État. Selon Le Figaro, le moteur de recherche va désormais examiner la décision afin de déterminer les prochaines étapes. Du côté de la Quadrature du Net, un des plaignants dans ce dossier, cette sanction de 50 millions d’euros ne représente qu’une « une toute première partie de la réponse à notre plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur YouTube, Gmail et Google Search en violation de notre consentement ».
L’association attend désormais de la Cnil qu’elle s’intéresse au reste de la plainte, et qu’elle impose une amende « d’un montant proportionné à cette entreprise ainsi qu’à l’ampleur et à la durée de la violation de nos droits ». En sachant que la sanction maximale est de 4% des revenus mondiaux, l’amende totale devrait avoisiner les 4 milliards d’euros.