Le non-respect du RGPD coûte 50 millions d’euros à Google
30 décembre 2019
C’est l’organe de surveillance français, la « Commission nationale de l’informatique et des libertés (« CNIL ») », qui a infligé une amende de 50 millions d’euros à Google LLC (« Google ») pour violation du RGPD. Selon la CNIL, Google enfreint deux des principales dispositions du RGPD concernant les publicités personnalisées qu’il montre à ses utilisateurs.
Deux plaintes, une enquête.
Deux plaintes, reçues par la CNIL les 25 et 28 mai 2018 (soit peu après l’entrée en vigueur du RGPD, ce qui n’est pas un hasard), ont donné lieu au lancement d’une enquête des instances publiques françaises sur les activités publicitaires de Google.
Les plaintes ont été déposées par les organisations None Of Your Business (« NOYB ») et La Quadrature du Net (« LQDN »). Cette dernière a plus précisément introduit dans ce cas une plainte collective au nom de 10.000 personnes.
Dans les deux cas, les plaintes reprochaient à Google de ne pas disposer de base juridique valable pour traiter les données à caractère personnel de ses utilisateurs dans le cadre de l’affichage de publicités personnalisées.
Violations en matière de publicité personnalisée.
Les infractions constatées par la CNIL sont doubles. En premier lieu, la CNIL a estimé que les informations fournies par Google concernant les publicités personnalisées adressées à ses utilisateurs n’étaient pas assez claires et transparentes. Les informations importantes concernant le traitement des données à caractère personnel sont étalées sur un trop grand nombre de pages. Le fait pour un utilisateur de devoir se frayer un chemin entre une multitude de boutons et de liens derrière lesquels sont cachées les informations pertinentes rend aussi celles-ci insuffisamment accessibles aux utilisateurs.
La CNIL confirme également les plaintes des organisations précitées. Google se fonde sur l’accord de ses utilisateurs pour exercer ses activités publicitaires mais celui-ci n’est pas obtenu valablement.
Pas d’informations. Les utilisateurs ne savent pas clairement quelles activités des services, sites internet et applications sont analysées et impliquées dans la personnalisation des publicités. Pensez dans ce cas à votre utilisation de Google Search, YouTube, Google Maps, Google Play, Gmail, etc.
Pas d’accord spécifique. L’accord des utilisateurs est obtenu à travers l’acceptation obligatoire des conditions générales et d’une déclaration générale de respect de la vie privée. Google applique dans ce cas un principe « tout ou rien » avec une distinction insuffisante entre les différentes finalités pour lesquelles les données à caractère personnel sont collectées et utilisées.
Pas de procédure univoque et active. Même si l’utilisateur peut refuser les publicités personnalisées et gérer lui-même ses préférences dans ce cas, l’utilisateur ne sait pas clairement où et comment il peut le faire. Google abuse en outre du principe « opt-out » en cochant préalablement et par défaut toutes les options. Or, un des chevaux de bataille du RGPD est que l’autorisation demande un acte actif (« opt-in ») de l’intéressé pour être valable. Si celui-ci n’entreprend aucune action, il ne peut en principe en découler aucune autorisation.
Amende de 50 millions d’euros
Sur la base des infractions constatées et commises par Google par rapport au RGPD, la CNIL a infligé une amende de 50 millions d’euros à Google. Cela peut sembler beaucoup, mais cela aurait aussi pu être beaucoup plus. Le RGPD permet en effet de sanctionner les infractions graves ou répétées par une amende maximale correspondant à 4 % du chiffre d’affaires annuel d’une entreprise.
Sachant que le chiffre d’affaires d’Alphabet (la société mère de Google) pour 2017 était estimé à 94,79 milliards d’euros, cela signifie que Google s’expose en cas de nouvelles infractions au RGPD à des amendes pouvant aller jusqu’à… 3,79 milliards d’euros.
Cela fera-t-il pour autant réagir Google ? Dans tous les cas, la société a déjà fait savoir qu’elle souhaitait se conformer aux normes rigoureuses de transparence et de clarté du RGPD et qu’elle évaluait la décision de la CNIL en vue de prendre les mesures nécessaires pour remédier à ces violations.
Vous avez encore des questions…
Vous aimeriez savoir tout ce que Google sait ou voudrait savoir sur vous ? Ce lien vous permettra de savoir sur quoi et à travers quelles activités en ligne Google se fonde pour personnaliser vos publicités.
Si vous avez des questions ou besoin de soutien en matière de respect de la vie privée ou d’IT en tant qu’entreprise, n’hésitez pas à contacter nos experts Respect de la vie privée & IT.