RGPD : pourquoi la CNIL a infligé 50M€ d’amende à Google

Le RGPD permet maintenant d’infliger des amendes records à tous ceux qui ne respectent pas les règles de traitement de données personnelles. Google vient d’en faire les frais avec une décision de la CNIL condamnant l’entreprise à payer 50 millions d’euros.

La Commission a été saisie dès l’entrée en vigueur du RGPD par deux associations qui réunissent près de 10 000 personnes. Les plaignants reprochent à Google de ne pas avoir de base juridique pour traiter les données de ses utilisateurs. La CNIL a mis en lumière plusieurs manquements

 

Google n’a pas respecté l’obligation de transparence et d’information du RGPD

Dans sa décision, la CNIL souligne que les utilisateurs de Google n’ont pas de moyen clair et simple d’accéder aux informations pourtant rendues obligatoires par le RGPD. En effet, les finalités de traitement des données, leur durée de conservation ou les catégories de données personnelles traitées pour la publicité ciblée ne sont pas regroupées en un seul endroit facilement disponible. L’utilisateur qui veut obtenir ce genre d’information doit passer par plusieurs formulaires différents et doit chercher l’information pour l’obtenir. 

Le principe du RGPD est pourtant que le responsable du traitement amène « sur un plateau » ces informations de base à l’utilisateur dont les données personnelles sont traitées. Un manque de transparence est donc caractérisé pour la CNIL. 

Mais la Commission va plus loin et analyse la teneur des informations auxquelles l’utilisateur peut accéder. Elle considère que les explications fournies par Google ne sont pas assez éclairantes sur la teneur véritable des traitements effectués. Ainsi, l’utilisateur ne peut pas comprendre clairement sur quel fondement ses données sont traitées : qui sait que la publicité ciblée est basée sur le consentement ? 

Pour ces raisons, la CNIL indique que Google a manqué à son obligation d’information découlant du RGPD. 

 

La publicité ciblée de Google n’a pas de base légale

La CNIL analyse le fondement juridique du traitement de données personnelles qui conduit à faire de la publicité ciblée sur Google. Officiellement, c’est le consentement de l’utilisateur qui permettrait de faire ce type de traitement, mais la Commission retoque Google pour 2 raisons. 

La première découle du fait que les utilisateurs ne donnent pas de consentement assez éclairé pour que la publicité soit ciblée. Ils n’ont pas entièrement connaissance de la portée du traitement qui va être mis en place. Pour justifier son raisonnement, la CNIL écrit que l’utilisateur n’a pas la possibilité de savoir exactement quels services, sites ou applications vont être impliqués dans le traitement de ses données personnelles. 

La deuxième a trait à l’acceptation de la publicité par une case précochée, puis des autres traitements par autre seule case cochée par l’utilisateur, de tous les traitements possibles et imaginables par Google. Or, le RGPD précise bien que le consentement doit être donné activement par l’utilisateur, c’est à lui de cocher la case. Dans le même temps, le consentement doit être spécifique à chaque type de traitement. Dans la pratique, Google précoche la case dédiée à l’affichage de publicités ciblées, surtout, l’utilisateur coche une seule case pour autoriser Google à réaliser tous les traitements possibles. Ces deux aspects sont strictement contraires au RGPD. 

 

C’est donc sur ces différents fondements que la CNIL a prononcé la sanction de 50 millions d’euros contre Google pour manquement aux obligations de transparence, d’information et de consentement.

A propos Leo Guittet 202 Articles
Juriste spécialisé dans les données de santé à Tripalio depuis 2014, j'écris quotidiennement des articles sur le thème de la protection sociale collective et des données de santé. Actuellement en thèse CIFRE sur le sujet de l'accès aux données de santé en France, je suis intéressé par tous les sujets qui touchent aux avancées technologiques et juridiques sur ce thème.

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Gilets Jaunes : d’après le syndicat majoritaire dans la police, les 3/4 des forces de l’ordre ne sont pas formées à l’utilisation du LBD

Yves Lefebvre, secrétaire général du syndicat Unité SGP-FO, arrivé en tête aux dernières élections professionnelles dans la police, affirme que...

Fermer