Le 21 janvier 2019, la Commission nationale des technologies de l'information et des droits de l'homme (CNIL) a
infligé à Google
une amende de 50 millions d'euros pour "manque de transparence, mauvaise information et manque de consentement valable" lors du traitement et de l'utilisation des données personnelles des utilisateurs pour afficher des publicités personnalisées.
L'imposition d'une forte amende a été le résultat d'une enquête. Tout a commencé avec le fait que les 25 et 28 mai 2018, la CNIL a reçu des réclamations collectives des associations de défense des droits humains None Of Your Business (NOYB) et La Quadrature du Net (LQDN), représentant les intérêts de plus de 10000 personnes. Dans ces deux plaintes, les associations ont accusé Google de l'absence d'un cadre juridique approprié pour le traitement des données personnelles des utilisateurs, y compris pour la personnalisation de la publicité.
Le 1er juin 2018, conformément aux dispositions sur la coopération européenne établies par le RGPD, la CNIL a adressé deux réclamations à ses collègues européens pour confirmer qu'elle avait compétence pour les examiner. Le fait est qu'il existe dans l'UE un mécanisme de «guichet unique». Vous devez d'abord déterminer dans quel pays se trouve «l'institution principale» du défendeur. En conséquence, l'organe juridique de l'UE de ce pays deviendra l'organe «principal» dans l'examen de cette affaire. Avant de prendre une décision, l'initiateur du processus doit se coordonner avec les autres autorités nationales de protection des données.
Le siège européen de Google est situé en Irlande. Cependant, dans ce cas, au moment de l'examen, il s'est avéré que le bureau irlandais n'avait pas le pouvoir de prendre des décisions concernant les procédures effectuées sous le système d'exploitation Android et les services fournis par Google LLC dans le cadre de la création d'un compte d'utilisateur lors de la configuration d'un téléphone mobile.
Le système de guichet unique n'étant pas applicable, la commission française de la CNIL a été autorisée à prendre des décisions concernant Google LLC. Elle l'a fait en appliquant le nouveau
règlement européen sur
la protection des données (RGPD) .
Selon le RGPD , le montant d'une amende pour une entreprise est déterminé proportionnellement au crime commis. Une pratique typique de l'UE en cas de violations répétées sur la même question est une augmentation de l'amende. Il peut augmenter rapidement, de sorte que la plupart des entreprises ont tendance à résoudre rapidement le problème. Chaque interaction avec les agences de protection des données se déroule de la même manière: avertissement, amende, augmentation in fine. L'amende maximale est de 20 millions d'euros ou
4% du chiffre d'
affaires annuel de l'exercice précédent pour l'entreprise, le montant le plus élevé étant retenu. La peine maximale a été introduite pour garantir que des géants comme Facebook et Google n'ignorent pas la loi, payant simplement une amende et poursuivant la pratique précédente. Par exemple, pour violation de la législation russe sur le stockage des données personnelles, Facebook et Twitter sont désormais
passibles d'une amende pouvant aller jusqu'à 5 000 roubles .
Afin de traiter les réclamations, la CNIL a procédé en septembre 2018 à un audit en ligne. L'objectif était de vérifier la conformité à la loi GDPR en analysant les actions de l'utilisateur et les documents auxquels il peut accéder en créant un compte Google lors de la configuration de son téléphone mobile pour Android.
L'audit a révélé deux rangées de violations du RGPD.
Première violation:
non-respect des obligations de transparence et de responsabilité. Les principales informations que l'entreprise était tenue de leur apporter selon le RGPD étaient difficiles d'accès pour les utilisateurs, notamment:
- les finalités pour lesquelles les données sont traitées;
- période de conservation des données.
Les catégories de données utilisées pour personnaliser la publicité ont été dispersées dans plusieurs documents qui ont des boutons et des liens séparés pour plus d'informations. Ainsi, les informations pertinentes ne sont disponibles qu'après quelques étapes, et nécessitent parfois jusqu'à cinq ou six actions de la part de l'utilisateur. Autant que possible, les informations sur la collecte d'informations pour personnaliser la publicité ou pour la géolocalisation sont cachées aux gens. De plus, les informations fournies ne sont pas toujours claires.
En conséquence, les utilisateurs ne sont pas en mesure de comprendre l'étendue de la surveillance installée par Google, bien que ces méthodes soient `` particulièrement massives et intrusives en raison du nombre de services proposés (environ 20), du volume et de la nature des données traitées et combinées '', a admis l'agence française.
Google ne précise pas aux utilisateurs que le consentement explicite d'une personne est nécessaire pour collecter des données. Il semble que Google ait le droit de collecter des données personnelles et le consentement de l'utilisateur n'est pas requis.
Deuxième violation:
non-respect de l'exigence d'une base juridique pour le traitement de la personnalisation de la publicité . La Commission a reconnu les informations insatisfaisantes et l'absence de consentement valide des utilisateurs au traitement des données à des fins de ciblage publicitaire.
Les informations sur les procédures "ne permettent pas à l'utilisateur de réaliser l'échelle." Par exemple, la section «Personnalisation des publicités» ne parle pas des nombreux services, sites, applications impliqués dans le traitement des données (recherche Google, Youtube, Google Maps, Play Store, Google Photo, etc.) et, par conséquent, du volume de données traitées et combinées . L'expérience a également montré que le consentement obtenu n'est ni «spécifique» ni «sans ambiguïté».
En conséquence, une conclusion a été tirée concernant une violation constante des normes du RGPD. "C'est la première fois que la CNIL applique la peine maximale prévue par le règlement général sur la protection des données", indique le rapport de la CNIL.