La lettre juridique n°769 du 24 janvier 2019 : Informatique et libertés

[Brèves] La CNIL inflige une sanction record de 50 millions d’euros à l’encontre de Google

Réf. : CNIL, délib. n° SAN 2019-001, 21 janvier 2019 (N° Lexbase : X0990BDZ)

Lecture: 3 min

N7299BXM

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] La CNIL inflige une sanction record de 50 millions d’euros à l’encontre de Google. Lire en ligne : https://www.lexbase.fr/article-juridique/49497720-breves-la-cnil-inflige-une-sanction-record-de-50-millions-dreuros-a-lrencontre-de-google
Copier

par Vincent Téchené

le 23 Janvier 2019

► Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google en application du «RGPD» (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité (CNIL, délib. n° SAN 2019-001, 21 janvier 2019 N° Lexbase : X0990BDZ ; cf. CNIL, communiqué du 21 janvier 2019).

 

Les 25 et 28 mai 2018, la CNIL a reçu des plaintes collectives de deux associations qui reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

 

  • L’instruction

 

La CNIL a commencé à instruire ces plaintes. Par ailleurs, le 1er juin 2018, conformément aux dispositions relatives à la coopération européenne fixées par le «RGPD», la CNIL a soumis ces deux plaintes à ses homologues européens pour vérifier si elle était compétente pour les traiter. En l’espèce, les échanges avec les autres autorités, notamment l’autorité de protection irlandaise où se situe le siège européen de Google, n’ont pas permis de considérer que Google disposait d’un établissement principal dans l’Union européenne. En effet, à la date à laquelle la CNIL a entrepris ses poursuites, l’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google en lien avec la création d’un compte utilisateur lors de la configuration d’un téléphone mobile. Le système dit du «guichet unique» n’étant pas applicable, la CNIL, au même titre que toutes les autres autorités de protection de l’Union, était dès lors compétente pour prendre des décisions concernant les traitements mis en œuvre par Google.

 

  • Les manquements constatés par la formation restreinte

 

Sur la base des investigations menées, la formation restreinte a constaté deux séries de manquements au «RGPD».

 

Elle relève d’abord un manquement aux obligations de transparence et d’information, les informations fournies par Google n’étant pas aisément accessibles pour les utilisateurs.

 

En effet, l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du Règlement. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.

 

De même, la formation restreinte constate que les informations délivrées ne sont pas toujours claires et compréhensibles.

 

La CNIL constate ensuite un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité.

 

La société Google invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or la formation restreinte estime que le consentement n’est pas valablement recueilli pour deux raisons.

 

Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.

 

Ensuite, la formation restreinte constate que le consentement recueilli n’est pas «spécifique» et «univoque».

 

Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte et il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées. Mais, le «RGPD» n’est pas pour autant respecté : en effet, non seulement l’utilisateur doit faire la démarche de cliquer sur «plus d’options» pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est «univoque», comme l’exige le «RGPD», qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non pré-cochée par exemple). Enfin, avant de créer son compte, l’utilisateur est invité à cocher les cases «j’accepte les conditions d’utilisation de Google» et «j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité» pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord. Or le consentement n’est «spécifique», comme l’exige le «RGPD», qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.

 

En prononçant une sanction de 50 millions d’euros, c’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le «RGPD».

 

© Reproduction interdite, sauf autorisation écrite préalable

newsid:467299

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.