RGPD : amende historique infligée à Google par la CNIL

RGPD : amende historique infligée à Google par la CNIL

RGPD : amende historique infligée à Google par la CNIL

  • 18/04/2019
  • Antoine Cheron
  • Commentaires fermés sur RGPD : amende historique infligée à Google par la CNIL

Le géant américain Google vient d’être condamné par la CNIL (Commission Nationale de l’Informatique et des Liberté) à 50 millions d’euros d’amende pour manquement à ses obligations dans le cadre du RGPD (Règlement Européen Général sur la Protection des Données personnelles)

La CNIL reproche à Google le manque de transparence dans le traitement des données personnelles, une information insatisfaisante car insuffisamment « claire et compréhensible » et une absence de consentement pour la personnalisation de la publicité.

La CNIL, précise dans son communiqué du 21 janvier 2019, que les associations None Of Your Business et La Quadrature du Net, à l’origine de la plainte contre Google et ses services Instagram et WhatsApp, reprochaient à Google « de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité ».

La commission a donc procédé à des contrôles en ligne sur les services de Google en septembre 2018 et a constaté plusieurs manquements. Elle constate une information insuffisante des utilisateurs de la plateforme : « les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs » et qu’ainsi, « L’information sur ces traitements (est) diluée dans plusieurs documents » ce qui ne permet pas à l’utilisateur de prendre conscience de l’ampleur du traitement des données réalisé par Google.

Ce manque de clarté et de transparence empêche l’utilisateur de donner un consentement avisé et éclairé sur le traitement de ses données et la personnalisation de la publicité : “Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires” relève la CNIL.

Ces manquements aux dispositions du RGPD ont ainsi motivé la CNIL à fixer la plus lourde sanction jamais infligée par une instance de régulation européenne.

Pour mieux comprendre le contexte, le RGPD est devenu une obligation, depuis son entrée en vigueur le 25 mai 2018, pour les entreprises visitées depuis l’Europe. Il vise à apporter plus de transparences dans le traitement des données personnelles et à garantir une utilisation respectueuse et protectrice des droits des personnes dont les données personnelles peuvent être traitées et exploitées par des entreprises.

Afin d’assurer son effectivité, le RGPD prévoit diverses sanctions graduelles et proportionnées à la gravité des manquements commis. Ainsi, avant de prononcer une amende à l’encontre d’une entreprise, la CNIL peut, notamment, lui demander de se mettre en conformité avec le RGPD. À défaut d’exécution, la CNIL peut adresser à cette société une injonction. Puis, si la société persiste à ne pas s’exécuter, la CNIL la condamne à une sanction financière (article 58 RGPD).

Le montant de l’amende administrative varie en fonction de l’obligation concernée et de la gravité du manquement. Par exemple, les plus lourdes amendes peuvent correspondre à 4% du chiffre d’affaires mondial de l’entreprise fautive (article 83 du RGPD).

Si, en l’espèce les 50 millions d’euros d’amende correspondent à la plus lourde sanction jamais infligée par la CNIL, la précédente était seulement de 150 000 euros, elle n’est rien comparée au chiffre d’affaires annuel mondial de Google qui s’élevait à plus de 100 milliards de dollars en 2017.

Google dispose de deux mois pour faire appel devant le Conseil d’Etat et contester le montant de cette amende. Cependant, il semble que la CNIL soit bien décidée à faire respecter les dispositions du RGPD et garantir une véritable protection dans le traitement des données par les entreprises. Ce sur quoi nous ne pouvons que nous réjouir.