RGPD : la CNIL met à l’amende le Géant Google
Le géant américain va devoir débourser 50 millions d’euros pour ne pas avoir respecté les nouvelles règles européennes en matière de données personnelles.
C’est une première qui fait mal. La Cnil a infligé à Google sa toute première amende au titre du RGPD (Règlement général sur la protection des données), ce lundi 21 janvier, huit mois après l’entrée en vigueur de ce texte européen encadrant l’utilisation des données personnelles.
Et les 50 millions d’euros réclamés au géant américain font voler en éclat les compteurs de l’institution. Les sanctions de la Cnil étaient jusqu’à présent plafonnées à 3 millions d’euros et elle n’était, dans les faits, montée qu’à 400.000 euros pour réprimander Uber fin décembreaprès un vol de données.
10.000 plaignants
Dans les trois jours suivant l’entrée en vigueur du RGDP, la Cnil avait été saisie de deux plaintes visant Google. La première émanait de l’association NOYB (None of your business), présidée par l’avocat et défenseur de la vie privée Max Schrems. La seconde était déposée par La Quadrature du Net et regroupait près de 10.000 signataires.
Après instruction, la Cnil a conclu à plusieurs manquements de Google, relatifs aux articles 6, 12 et 13 du RGPD. Elle s’est penchée sur un cas spécifique, celui d’un utilisateur d’un téléphone Android (le système d’exploitation mobile de Google) invité à créer un compte Google.
Ses constatations sont cruelles. Malgré les efforts de Google, les informations fournies à l’utilisateur ne sont ni facilement accessibles, ni facilement compréhensibles.
Consentement invalide
La Cnil reproche également au géant américain de ne pas recueillir convenablement le consentement des utilisateurs. Impossible pour ces derniers de saisir l’ampleur des informations collectées et croisées par Google. Et la personnalisation des annonces est « pré-cochée » par défaut, ce qui est contraire au règlement.
Pour sa défense, le groupe de Mountain View a fait feu de tout bois, contestant la compétence de la Cnil, la validité de ses interprétations mais aussi l’amende de 50 millions d’euros jugée « disproportionnée ». Sans succès.
La Cnil a en effet balayé les objections du géant du numérique. Pour l’autorité indépendante, Google ne possédait pas, jusqu’à aujourd’hui, d’un établissement principal en Europe. Chaque pays pouvait donc traiter d’éventuelles plaintes.
Pour justifier la lourdeur de la sanction, la Cnil met en avant le caractère continu et grave des infractions. Et ce de la part d’un acteur qui « dispose d’opérations de combinaisons au potentiel quasi illimité permettant un traitement massif et intrusif des données des utilisateurs ».
Les Gafam dans le viseur
Mercredi 23 janvier, Google s’est décidé à faire appel de la décision devant le Conseil d’Etat. « Nous avons travaillé dur pour mettre au point un processus de consentement conforme au RGPD pour les publicités personnalisées aussi transparent et simple que possible », a déclaré un porte-parole de la filiale du groupe Alphabet.
« Nous sommes aussi inquiets de l’impact de cette décision pour les éditeurs, les créateurs de contenus originaux et les entreprises technologiques en Europe et ailleurs. Pour toutes ces raisons, nous avons maintenant décidé de faire appel. », a-t-il ajouté.
Après quelques menues amendes en Europe, la Cnil française est la première à frapper aussi fort en s’appuyant sur le RGPD. Elle pourrait être rapidement imitée. D’autres géants (Apple, Facebook, Amazon, Microsoft) sont visés par des plaintes en Europe et le RGPD fixe un plafond de sanctions très élevé : jusqu’à 4 % du chiffre d’affairesmondial. 2018 fut l’année de l’entrée en vigueur des nouvelles règles. 2019 s’annonce comme celle des sanctions.
Source : LesEchos