Condamnation historique de Google par la CNIL, mais pas pour les raisons auxquelles on pourrait penser.
Hier, la CNIL a condamné Google à une amende de 50 millions d’euros. Au-delà du montant, c’est l’amende la plus significative que la Commission ait infligé à une entreprise.
Google a été condamné sur trois motifs, qui n’ont rien à voir avec la fuite de données personnelles, d’utilisation illégale ou de défaut de sécurité. Il s’agit de manquements aux obligations de transparence et d’information.
Deux grands principes du RGPD ont donc été transgressés par Google. D’une part, le principe de transparence qui oblige les entreprises à traiter loyalement et licitement les données des utilisateurs et, surtout, au traitement des données après communication aux personnes concernées d’une information COMPLÈTE, ACCESSIBLE et FACILE à comprendre sur le traitement des données, que celui-ci soit réalisés AVEC ou SANS leur consentement.
Dissémination de l’information
La CNIL relève que « les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs », parce que « l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement ». De fait, la Cnil accuse Google de « disséminer » volontairement les informations qui expliquent « les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité » dans plusieurs documents afin de perdre l’utilisateur.
La Commission dénonce à Google l’utilisation abusive de « boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ». Conséquence, « l’information pertinente n’est accessible qu’après plusieurs étapes », parfois en 6 étapes.
Consentement peu explicite
La CNILl juge que « les informations délivrées » par Google « ne sont pas toujours claires et compréhensibles « et ne permet donc pas aux utilisateurs de « comprendre l’ampleur des traitements mis en place » ». La Commission estime que ces traitements « sont particulièrement massifs et intrusifs« . Elle en dénombre « une vingtaine » qui brassent des données considérables en volumes et très variées. Surtout, « les finalités sont décrites de façon trop générique et vague ». Pour l’utilisateur, il est donc rigoureusement impossible de savoir comment seront utilisées ses données. Comment, dans ces conditions, peut-il donner son consentement au traitement de ses données de manière éclairée ?
Autre fait, la durée de conservation de ces données n’est pas indiqué, ce qui constitue également un faute.
Utilisation peu claire des données
Autre élément relevé par la CNIL, « Dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées » .
Si vous consentez à donner certaines informations pour utiliser un service de Google, il n’est donc pas impossible que ces données soient utilisées ensuite par Google pour toute autre destination, sans que vous en soyez informé.
A propos des paramètres, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est légal qu’à la condition que l’utilisateur effectue un acte volontaire, comme par exemple cocher une case non pré-cochée.
Autre souci que relève la CNIL, « avant de créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google ». Ce qui, bien évidemment n’est pas conforme aux règles du RGPD.
Une nouvelle étape pour la CNIL ?
Avant la fin de son mandat à la CNIL, Isabelle Falque Pierrotin pourra se prévaloir d’avoir fait infliger à l’un des géants du Net une sanction exemplaire tant sur le fond que sur la forme. Certes, 50 millions d’euros est une somme importante, il s’agit de la plus lourde sanction pécuniaire en France, mais que cela représente-t’il face au CA annuel mondial de Google (2017: 109,5 Md US $)…
La CNIL avait prévenu, dès avril 2018, qu’avec le RGPD, l’Europe allait jouer sa crédibilité. Sa décision du 21 janvier 2019 passe du vœu à l’acte. Non seulement elle marque le cap à suivre pour la prochaine équipe, mais cette condamnation est un signal fort et clair à l’attention de ceux qui pensaient pouvoir temporiser ou passer entre les gouttes.
Quoiqu’un appel soit possible pour Google (installée aux Etats Unis) auprès du Conseil d’Etat, le message est là et il semble bien que la CNIL ait passé un pallier dans sa lutte sur la protection des données.