Violation du RGPD : la CNIL inflige 50 millions d'euros à Google

Par:
fredericmazue

lun, 21/01/2019 - 16:25

Business (« NOYB ») et de l’association La Quadrature du Net (« LQDN »).  LQDN était mandatée par près de 10 000 personnes pour saisir la CNIL. Dans ces deux plaintes, les associations reprochaient à GOOGLE de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité, explique la CNIL dans son avis qui rend la condamnation de Google publique.

Les griefs reprochés à Google sont nombreux :

En effet, l’architecture générale de l’information choisie par la société [Goolge] ne permet pas de respecter les obligations du Règlement [LE RGPD]. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.

De même, la CNIL  constate que les informations délivrées ne sont pas toujours claires et compréhensibles.

Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par GOOGLE. Or ces traitements sont  particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. En particulier, la CNIL constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités

Comme si cela ne suffisait pas, la CNIL en ajoute une couche :

La société GOOGLE invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or la CNIL estime que le consentement n’est pas valablement recueilli pour deux raisons.

Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. [...] Ensuite, la formation restreinte constate que le consentement recueilli n’est pas « spécifique » et « univoque ».

Google se voit là sanctionné sur ce qui est son fond de commerce, la publicité via ses service AdWords/ AdSense. Et en ce qui concerne la sanction, la CNIL n'a pas lésiné. Elle a appliqué la sanction maximum sur la base de 4% du chiffre d'affaires de Google, soit 50 millions d'euros.