Suite aux plaintes déposées par deux associations, la CNIL a infligé ce lundi une amende record de 50 millions à la firme californienne. Celle-ci vient notamment de sanctionner le manque de transparence de Google et sa politique particulièrement douteuse en matière de confidentialité.
Une amende record de 50 millions d’euros
Si cette sanction de 50 millions d’euros peut paraître infime lorsqu’on la compare au chiffre d’affaires généré annuellement par Google (96 milliards de dollars en 2017), il s’agit d’un montant record. Reprochant au géant californien un « manque de transparence » ainsi qu’une « information insatisfaisante » et « l’absence de consentement valable pour la personnalisation de la publicité et la géolocalisation », la Commission nationale de l’informatique et des libertés (CNIL) a décidé de sévir et de marquer les esprits en appliquant pour la première fois les nouveaux plafonds de sanction prévus par le Règlement général sur la protection des données (RGPD).
Suite aux plaintes collectives déposées par la Quadrature du Net et l’association None Of Your Business, la CNIL avait procédé en septembre dernier à un contrôle en ligne. Ce dernier était notamment destiné à « vérifier la conformité à la loi Informatique et libertés et au RGPD des traitements de données personnelles réalisés par Google, en analysant le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android ».
La CNIL sanctionne financièrement GOOGLE → https://t.co/QmAEwAjbOC pic.twitter.com/Ymhd7biMQa
— CNIL (@CNIL) 21 janvier 2019
Google condamné pour manquement aux obligations de transparence et d’information
À l’issue de ce contrôle, la CNIL a conclu que les informations fournies par Google n’étaient pas aisément accessibles pour les utilisateurs ou peu claires, et qu’il n’était nulle part fait mention de la durée de conservation de certaines données. Bien que le géant américain affirme disposer du consentement des utilisateurs pour traiter leurs données, la CNIL l’a invalidé, en faisant valoir le fait que celui-ci était « dilué dans plusieurs documents sans possibilité de prendre connaissance de la pluralité des services, sites et applications impliqués dans ces traitements », conformément aux dispositions du RGPD.
Comme l’a précisé Mathieu Moulin, en charge de la protection des droits et des sanctions à la CNIL : « Nous ne nions pas que Google informe l’utilisateur sur la façon dont ses données seront exploitées. Mais l’information n’est pas aisément accessible : elle est disséminée dans différents documents, et il faut parfois jusqu’à cinq clics pour y accéder ». Les manquements de Google perdurent à ce jour, et rien ne permet d’affirmer que la compagnie américaine se résoudra à modifier la manière dont elle informe ses utilisateurs et obtient leur consentement en ce qui concerne la gestion de leurs données personnelles.
