Le RGPD permet maintenant d’infliger des amendes records à tous ceux qui ne respectent pas les règles de traitement de données personnelles. Google vient d’en faire les frais avec une décision de la CNIL condamnant l’entreprise à payer 50 millions d’euros.
La Commission a été saisie dès l’entrée en vigueur du RGPD par deux associations qui réunissent près de 10 000 personnes. Les plaignants reprochent à Google de ne pas avoir de base juridique pour traiter les données de ses utilisateurs. La CNIL a mis en lumière plusieurs manquements.
Google n’a pas respecté l’obligation de transparence et d’information du RGPD
Dans sa décision, la CNIL souligne que les utilisateurs de Google n’ont pas de moyen clair et simple d’accéder aux informations pourtant rendues obligatoires par le RGPD. En effet, les finalités de traitement des données, leur durée de conservation ou les catégories de données personnelles traitées pour la publicité ciblée ne sont pas regroupées en un seul endroit facilement disponible. L’utilisateur qui veut obtenir ce genre d’information doit passer par plusieurs formulaires différents et doit chercher l’information pour l’obtenir.
Le principe du RGPD est pourtant que le responsable du traitement amène « sur un plateau » ces informations de base à l’utilisateur dont les données personnelles sont traitées. Un manque de transparence est donc caractérisé pour la CNIL.
Mais la Commission va plus loin et analyse la teneur des informations auxquelles l’utilisateur peut accéder. Elle considère que les explications fournies par Google ne sont pas assez éclairantes sur la teneur véritable des traitements effectués. Ainsi, l’utilisateur ne peut pas comprendre clairement sur quel fondement ses données sont traitées : qui sait que la publicité ciblée est basée sur le consentement ?
Pour ces raisons, la CNIL indique que Google a manqué à son obligation d’information découlant du RGPD.
La publicité ciblée de Google n’a pas de base légale
La CNIL analyse le fondement juridique du traitement de données personnelles qui conduit à faire de la publicité ciblée sur Google. Officiellement, c’est le consentement de l’utilisateur qui permettrait de faire ce type de traitement, mais la Commission retoque Google pour 2 raisons.
La première découle du fait que les utilisateurs ne donnent pas de consentement assez éclairé pour que la publicité soit ciblée. Ils n’ont pas entièrement connaissance de la portée du traitement qui va être mis en place. Pour justifier son raisonnement, la CNIL écrit que l’utilisateur n’a pas la possibilité de savoir exactement quels services, sites ou applications vont être impliqués dans le traitement de ses données personnelles.
La deuxième a trait à l’acceptation de la publicité par une case précochée, puis des autres traitements par autre seule case cochée par l’utilisateur, de tous les traitements possibles et imaginables par Google. Or, le RGPD précise bien que le consentement doit être donné activement par l’utilisateur, c’est à lui de cocher la case. Dans le même temps, le consentement doit être spécifique à chaque type de traitement. Dans la pratique, Google précoche la case dédiée à l’affichage de publicités ciblées, surtout, l’utilisateur coche une seule case pour autoriser Google à réaliser tous les traitements possibles. Ces deux aspects sont strictement contraires au RGPD.
C’est donc sur ces différents fondements que la CNIL a prononcé la sanction de 50 millions d’euros contre Google pour manquement aux obligations de transparence, d’information et de consentement.
