La CNIL, l'organisme français de surveillance de la protection des données, a infligé à Google une amende de 50 millions d'Euros (près de 57 millions de dollars) pour ce que l'autorité considère comme le non-respect par le géant technologique de ses obligations découlant des règles de l'Union européenne (UE) sur la protection des données.
Un comité de la Commission nationale de l'informatique et des libertés (CNIL) a conclu que la violation par Google du Règlement général sur la protection des données (RGPD) de l'UE est liée à un « manque de transparence, une information insuffisante et un manque de consentement valable concernant la personnalisation de l'annonce. »
Sur la base de ses « inspections en ligne » sur la façon dont Google traite les données des utilisateurs lorsque les utilisateurs d'Android configurent leurs nouveaux smartphones, le régulateur de la vie privée a constaté que la non-conformité de Google avec le GDPR se présente en fait sous deux formes :
Tout d'abord, selon la CNIL, le géant de la technologie ne parvient pas à fournir aux utilisateurs des informations transparentes et complètes sur la manière dont il traite les données des utilisateurs.
« Les informations essentielles, telles que les finalités du traitement, les délais de conservation des données ou les catégories de données personnelles utilisées pour la personnalisation des annonces, sont diffusées de manière excessive dans plusieurs documents », souligne la CNIL. La Commission ajoute que ces informations ne sont disponibles qu'après plusieurs étapes supplémentaires qui peuvent dans certains cas impliquer cinq ou six actions individuelles.
En outre, « les finalités du traitement sont décrites de manière trop générique et vague, tout comme les catégories de données traitées pour ces différentes finalités », selon l’organisme.
D'autre part, la CNIL déclare que le consentement de l'utilisateur au traitement de ses données à des fins de personnalisation des annonces n'est pas obtenu de manière valable. En plus de diluer l'information pertinente dans de multiples documents, Google ne rend pas le flux de consentement non équivoque ni spécifique, a déclaré l'organisme de réglementation.
Pour que le consentement soit donné sans ambiguïté, « une action affirmative claire de l'utilisateur » est nécessaire, note la CNIL. En même temps, le consentement est spécifique « seulement s'il est donné distinctement pour chaque finalité ». Toutefois, en cochant à l'avance l'option de personnalisation de la publicité et en regroupant les consentements, Google s'est avéré contrevenir au RGPD.
La CNIL a déclaré qu'il ne s'agit pas là d'une « infraction ponctuelle et limitée dans le temps » au RDPD, car ces infractions sont encore observées à ce jour.
Les autorités nationales de l'UE ont infligé plusieurs amendes dans le cadre du GDPR depuis l'entrée en vigueur du règlement le 25 mai 2018, notamment contre un hôpital portugais en octobre dernier et contre un site de chat allemand le mois suivant. Toutefois, l'amende infligée à Google est de loin la plus élevée selon le nouveau régime en vigueur. La loi prévoit des amendes pouvant aller jusqu'à quatre pour cent du chiffre d'affaires global annuel d'une entreprise pour des infractions graves.
Comment tout a commencé
L'enquête de la CNIL a été lancée pour faire suite aux plaintes déposées par deux groupes de défense de la vie privée contre Google et plusieurs autres géants de la technologie les 25 et 28 mai 2018, respectivement. Google, pour sa part, a été accusé par None Of Your Business (Noyb) et La Quadrature du Net de « ne pas disposer d'une base légale valide pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation publicitaire. » Les plaintes contre les autres grands services en ligne restent en suspens.
Bien que le siège européen de Google soit situé à Dublin, la CNIL a conclu que le bureau irlandais de la société n'a pas le dernier mot en ce qui concerne le traitement des données des utilisateurs Android. C'est pourquoi la question est restée entre les mains de l'autorité française, plutôt que d'être transmise à la Commission irlandaise de protection des données (DPC), qui est la principale autorité de contrôle de Google dans l'UE.
Pendant ce temps, un porte-parole de Google avait ceci à dire en réponse à la sanction (selon la BBC) : « Les gens attendent de nous des normes élevées de transparence et de contrôle. Nous sommes déterminés à répondre à ces attentes et aux exigences du GDPR en matière de consentement. »