La CNIL inflige une amende inédite à Google

La CNIL inflige une amende inédite à Google

Une première. La Commission nationale de l’informatique et des libertés a prononcé hier une sanction de 50 millions d’euros à l’encontre de Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Après avoir reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de La Quadrature du Net (« LQDN ») reprochant à la firme de Mountain View de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs, la CNIL a procédé en septembre 2018 à un contrôle en ligne. "L’objectif était de vérifier la conformité à la Google, en analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android" a t-elle fait savoir.

Après avoir mené l’enquête, la formation restreinte de la Commission a constaté deux séries de manquements au RGPD. Le premier concerne les informations fournies par Google, celles-ci ne "sont pas aisément accessibles et claires pour les utilisateurs". La CNIL cible notamment les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité. Ces dernières "sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires". Autrement dit, l’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. 

invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité mais celui-ci n’est pas suffisamment éclairé  : "L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur. Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées", explique la Commission qui constate par ailleurs que le consentement recueilli n’est pas « spécifique » et « univoque ».