Google condamné à payer 50 millions d’euros pour manquement au RGPD


Publications

Google condamné à payer 50 millions d’euros pour manquement au RGPD
Une première française
Le Règlement Général relatif à la Protection des Données ( ou RGPD ) est entré en vigueur
le 25 mai 2018. Depuis lors, de nouvelles règles régissent la protection de nos données personnelles.
Ce texte a pour vocation d’harmoniser les législations européennes, d’assurer à l’utilisateur des
outils technologiques une meilleure protection et d’accroître les devoirs des personnes collectant les
données personnelles.
Les autorités de contrôle étatiques ont à coeur de faire cesser les pratiques répandues et
excessives de collecte des données. C’est la raison pour laquelle, à la suite de l’entrée en vigueur du
texte, l’autorité de contrôle portugaise diligentait une procédure à l’encontre d’un centre hospitalier
en juin 2018. Cette autorité reprochait à l’hôpital de conférer à des tiers un accès trop large aux
dossiers des patients. En effet, le personnel administratif de l’hôpital et des médecins extérieurs
avaient accès aux dossiers médicaux des patients. Par conséquent, l’autorité de contrôle portugaise
condamnait ce centre hospitalier à 400 000 euros d’amende en raison d’une violation des principes
d’intégrité et de confidentialité en octobre 2018.
Cette première condamnation portugaise fut l’élément déclencheur en Europe. Depuis celleci,
les autorités de contrôle n’hésitent plus à condamner les responsables des traitements,
notamment les géants du numérique.
La Commission Nationale de l’Informatique et des Libertés française ( la CNIL ) a été saisie
par une plainte de deux associations, La Quadrature du Net et None of your business, représentant
près de 10 000 plaignants. Les associations dénoncent les conditions dans lesquelles les règles de
confidentialité et les conditions générales d’utilisation sont acceptées par les utilisateurs. Aussi, ils
dénoncent l’utilisation de cases pré-cochées. Il est intéressant de noter que la CNIL a accepté la
recevabilité de la plainte de ces deux associations. Cette idée n’allait pas de soi. En effet,
l’article 43 ter de la loi Informatique et Libertés prévoit que seules les associations déclarées depuis
cinq ans peuvent introduire une plainte ou un recours collectif. Or, l’association None Of Your
Business a été créée en 2017. Néanmoins, la CNIL estime que cette limitation n’existe pas au sein
du RGPD. Par conséquent, la CNIL interpelle le gouvernement sur cette restriction qui n’existe pas
dans le règlement européen.
A la suite d’une enquête minutieuse, la CNIL condamne la société Google à une amende de
50 millions d’euros. Elle justifie cette amende sur plusieurs violations du RGPD.
• Manquement à l’obligation d’accessibilité
L’article 12 du RGPD prévoit que les informations transmises par le responsable du
traitement doivent être communiquées de manière claire, précise et accessible en des termes clairs
et simples.
La CNIL remarque que les informations présentes au titre du RGPD sont éparpillées au sein
des conditions générales d’utilisation et des règles de confidentialité.
Dans le cadre de la personnalisation de la publicité, la CNIL nous donne un exemple flagrant
de la volonté de Google de disperser les informations relatives à la collecte des données : « prendre
connaissance du document général Règles de confidentialité et conditions d’utilisation , puis
cliquer sur le bouton Plus d’options et ensuite sur le lien En savoir plus pour que soit affichée la
page Personnalisation des annonces . Il aura ainsi accès à une première description du traitement
relatif à la personnalisation de la publicité qui s’avère être incomplète. Pour compléter
l’information relative aux données traitées dans le cadre de cette finalité, l’utilisateur devra encore
consulter dans son intégralité la rubrique proposer des services personnalisés contenue dans le
document Règles de confidentialité , lui-même accessible depuis le document général Règles de
confidentialité et conditions d’utilisation ». Cette procédure complexe, visant à décourager
l’utilisateur, montre bien que les informations étaient très difficilement accessibles. En outre,
lorsque l’utilisateur a enfin accès aux informations, ces dernières sont dispersées au sein d’une
masse importante d’informations. La CNIL remarque que ‘’ compte tenu de cette architecture,
certaines informations sont difficilement trouvables ‘’ ( paragraphe 98 de la délibération de la
CNIL ). En effet, il ne faut pas moins de 5 opérations pour que l’utilisateur puisse connaître ses
informations.
La CNIL remarque également que les informations relatives à la géolocalisation sont
difficilement trouvables. Autrement dit, la CNIL considère que les clauses présentes dans les
conditions générales d’utilisation sont illisibles et introuvables.
Par conséquent, la CNIL constate que l’obligation d’accessibilité fait défaut.
• Manquement aux obligations de transparence et d’information
La CNIL remarque que la société collecte un nombre important et varié de données. En
effet, elle collecte des données produites par la personne ( nom, prénom, numéro de téléphone… ),
des données générées par l’activité de la personne ( site internet visité, réseau… ), et des données
dérivées ( personnalisation du fait de l’activité de l’utilisateur ). Les informations collectées et leur
nature sont intrusives et massives. A titre d’exemple, la collecte dans le cadre de la géolocalisation
est particulièrement intrusive puisque la société Google peut savoir, à n’importe quel moment, la
situation géographique de la personne. En outre, l’autorité de contrôle considère que ses
informations sont imprécises puisqu’il existe aucune distinction entre les informations produites par
la personne et les données générées par son activités.
Par conséquent, les exigences de clarté et de compréhension ne sont pas présentes selon la
CNIL.
• Un consentement non-valablement recueilli
L’article 6 du RGPD prévoit que, pour que le traitement soit licite, il faut un consentement
éclairé et non-équivoque de la personne concernée. La CNIL constate que les informations sont
disséminées dans plusieurs documents. L’utilisateur doit effectuer plusieurs actions afin de pouvoir
y parvenir. En effet, plusieurs pages internet doivent être ouvertes afin que l’information de la
personne soit complète. Les outils fournis par Google ne suffisent pas à avoir une information claire
et éclairée. L’exigence posée par la CNIL est que la personne doit comprendre rapidement qui
collecte les données personnelles, pourquoi ses données sont traitées, et quelles sont les données qui
sont collectées.
Par conséquent, la CNIL considère que le consentement de la personne concernée n’est pas
suffisamment éclairé puisque les informations sont difficilement trouvables et qu’elles sont
présentes au sein d’un document massif.
Par cette décision, la CNIL condamne l’utilisation des cases pré-cochées. En effet, elle
considère que la case pré-cochée ne saurait être considérée comme l’expression d’un consentement
valable. En outre, l’acceptation des clauses « en bloc » de l’ensemble des traitements des données
personnelles contrevient au caractère spécifique du consentement.
Par conséquent, la CNIL considère que le consentement n’est pas valable.
Sur l’ensemble de ces manquements, la CNIL condamne la société Google à une amende de
50 millions d’euros.
• Quelles suites ?
Cette décision de la CNIL tombe mal pour Google. En effet, depuis plusieurs mois, le
ministre de l’économie et des finances français, Bruno Le Maire, se bat pour l’instauration d’une
nouvelle taxe GAFA touchant les géants du numérique. Après un échec de la mise en place d’une
réglementation européenne sur le sujet, la loi française a été votée, en première lecture, par
l’assemblée nationale le 8 avril 2019. Elle prévoit une taxe s’élevant à hauteur de 3 % du chiffre
d’affaires de Google sur les revenu générés par l’activité de internautes français.
Outre le volet fiscal l’impactant, Google a déjà saisi le Conseil d’État pour contester la
délibération de la CNIL. Pour l’heure, aucune décision du Conseil d’État n’a été rendue.
Néanmoins, ce qui est certain, c’est que cette décision sera cruciale pour les condamnations à venir,
délimitant ainsi les contours du droit à la protection des données personnelles mis en place par le
RGPD il y a un an.


Poster un commentaire


Aucun commentaires

Soyez le premier à laisser un commentaire.