Camille Gruhier
Données personnellesPourquoi la Cnil a sanctionné Google si lourdement
La Cnil (Commission nationale de l’informatique et des libertés) vient d’infliger à Google une amende record de 50 millions d’euros. Motif ? L’entreprise ne respecte pas le nouveau règlement européen sur la protection des données personnelles (RGPD). Retour sur une sanction qui sonne comme une mise en garde pour les géants du numérique, mais que Google conteste.
Pourquoi la Cnil a-t-elle sanctionné Google ?
La commission reproche à Google deux entraves au RGPD (Règlement général sur la protection des données), qui encadre désormais la protection des données des citoyens européens. Ce texte entré en vigueur le 25 mai 2018 renforce les droits des consommateurs, qui doivent être explicitement informés et donner leur accord à la collecte de leurs données.
Premier reproche, un manque de transparence
Google ne respecte pas les obligations du RGPD en matière de transparence et d’information. Le RGPD prévoit en effet que les utilisateurs doivent être en mesure de comprendre simplement pourquoi une entreprise collecte des données et ce qu’elle en fait. « Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires », détaille la Cnil. En clair, l’information est cachée derrière trop de clics.
Second reproche, un consentement invalide
Avec le RGPD, plus aucune entreprise ne peut collecter les données d’un utilisateur sans obtenir explicitement son accord au préalable. Ce « recueil de consentement » obéit à des règles strictes : il doit être « éclairé », « spécifique » et « univoque ». Comprenez que, là encore, Google manque prodigieusement de clarté. Par exemple, concernant la publicité ciblée (rubrique « Personnalisation des annonces » du compte Google), vous donnez d’un coup votre consentement pour tous les services Google (Google search, Youtube, Google home, Google maps, Playstore, Google photo, etc.). Mais vous n’en êtes pas informé. De plus, l’utilisateur doit lui-même faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage et l’affichage d’annonces personnalisées est précoché par défaut, ce qui est contraire au principe d’« univocité ».
Comment a été calculé le montant de l’amende ?
Le montant record de l’amende, 50 millions d’euros, est à la hauteur de la gravité des manquements, explique la Cnil. La transparence, l’information et le consentement constituent les principes essentiels du RGPD. De plus, il ne s’agit pas d’erreurs ponctuelles, il s’agit de violations continues au règlement, qui perdurent d’ailleurs encore aujourd’hui. L’amende est aussi proportionnelle à la prépondérance de Google dans les smartphones : des milliers d’utilisateurs créent chaque jour un compte Google pour profiter d’Android, son système d’exploitation mobile. Notez que le RGPD autorise des sanctions à hauteur de 4 % du chiffre d’affaires mondial d’une entreprise. La Cnil a finalement été assez clémente puisque l’amende de Google correspond à… 0,05 % de ses revenus (88 milliards d’euros en 2017).
Google va-t-il vraiment payer les 50 millions d’euros ?
Oui. Mais Google a déjà annoncé qu’il allait faire appel de cette décision devant le Conseil d’État. Si ce dernier annule la décision de la Cnil, il sera remboursé.
Qui va encaisser les 50 millions d’euros ?
La Cnil n’encaisse pas directement le montant des amendes. Ces sommes sont versées au Trésor public, comme toutes les sanctions prononcées par les autres autorités administratives indépendantes (Autorité de la concurrence, CSA, Haute autorité de santé, etc.).
Pourquoi Google conteste-t-il la sanction de la Cnil ?
Comme à son habitude, Google a envoyé aux journalistes une déclaration dont ils doivent se contenter, dans laquelle il justifie brièvement sa décision de faire appel. Sans surprise, Google y explique qu’il estime avoir créé « une méthode de recueil de consentement pour les annonces personnalisées conforme au RGPD aussi clair et simple que possible, basé sur le cadre réglementaire et des tests d'expérience utilisateur ». Mais derrière cette déclaration vide se cache en réalité un désaccord de procédure assez complexe. Google s’interroge en effet sur la légitimité de la Cnil dans ce dossier, alors que le siège social européen de l’entreprise est basé en Irlande. Selon lui, c’est donc l’autorité irlandaise de protection des données, la DPC (Data Protection Commission), qui aurait dû instruire le dossier. La Cnil, de son côté, maintient qu’elle est compétente : c’est l’activité de Google en Europe qu’elle sanctionne, pas son siège social. C’est sur ce point juridique que le Conseil d’État devra se prononcer.
250 000 € d’amende pour Bouygues Télécom
Isabelle Falque-Pierrotin, qui présidait la Cnil depuis 2011, achève son mandat sur deux coups d’éclat. Le plus brillant est la condamnation récente de Google, le second est la sanction infligée à Bouygues Télécom quelques semaines plus tôt. Le montant de l’amende est plus modeste, il atteint 250 000 €. Il sanctionne un défaut de sécurisation des données de 2 millions de clients de l’offre B&You. Bouygues Télécom avait en effet « oublié » de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client. Du coup, il était possible d'accéder, sans mot de passe ni identifiant, au contrat ou aux factures des clients concernés simplement en modifiant une adresse URL. L’opérateur a rapidement corrigé cette faille.
Lire aussi
Pour faire valoir vos droits, nous mettons à votre disposition une lettre type à adresser à la Cnil en cas de manquement à la réglementation ainsi qu’une brochure pour mieux comprendre le RGPD.