Amende record de 50 millions pour violation du RGPD

Publié le par - 5894 vues

Le 21 janvier 2019, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google LLC pour divers manquements au RGPD : défaut de transparence, information insuffisante et absence de consentement valable pour la personnalisation de la publicité.

Les faits

Les 25 et 28 mai 2018, la CNIL (autorité de protection des données en France) est saisie de deux plaintes collectives par l’association « None Of Your Business » et par l’association « La Quadrature du Net ». Ensemble, ces plaintes cumulent les réclamations de près de 10 000 personnes et reprochent entre autre à Google :

  • le fait que les utilisateurs d’appareils portables (smartphones, tablettes, etc.) Android (système d’exploitation mobile le plus utilisé dans le monde, devant iOS d’Apple, et développé par Google) sont obligés d’accepter la politique de confidentialité et les conditions générales d’utilisation des services Google pour utiliser leurs appareils ;
  • qu’indépendamment de l’appareil utilisé, Google traite des données personnelles pour personnaliser la publicité sans bases juridiques valables.

En septembre 2018, la CNIL mène l’enquête et vérifie la conformité de Google aux réglementations applicables en matière de protection des données. Pour ce faire, elle effectue un contrôle en ligne en analysant le parcours d’un utilisateur lambda et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son appareil mobile sous Android.

La CNIL constate deux violations au RGPD:

Manque de transparence et d’information

Le RGPD impose de communiquer de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (art. 12) un certain nombre d’informations aux utilisateurs (les données personnelles qui sont collectées, les finalités ou buts d’utilisation des données, les destinataires des données, la base juridique des traitements, les durées de conservation, etc.) (art. 13).

Premier constat : les informations fournies par Google aux utilisateurs ne sont pas facilement accessibles. Selon la CNIL, l’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du RGPD. L’information dont question ci-dessus est éparpillée dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. Les utilisateurs n’ont accès à l’information qu’après plusieurs étapes, nécessitant parfois jusqu’à cinq ou six actions/clics. C’est le cas par exemple de l’utilisateur qui, pour savoir ce que Google fait de ses données de géolocalisation, doit (1) consulter « les Règles de confidentialité et conditions d’utilisation » ; (2) cliquer sur « Plus d’options » ; (3) cliquer sur le lien « En savoir plus » pour que soit affichée la page « Historique des positions » ; (4) retourner au document « Règles de confidentialité et consulter la rubrique « Informations relatives à votre position géographique » pour accéder au reste de l’information ; (5) cliquer sur les liens relatifs aux différentes sources utilisées pour le géolocaliser).

Deuxième constat : les informations fournies ne sont pas toujours claires et compréhensibles.

Selon la CNIL, les caractères clair et compréhensible des informations doivent être appréciés à la lumière de la nature du traitement en cause et de son impact concret sur les personnes. Sur ce point, la CNIL constate que :

  • les traitements de données mis en œuvre par Google sont particulièrement massifs et instrusifs : les données (historique de navigation web, historique d’usage des applications, carnets d’adresses, géolocalisation, etc.) sont collectées non seulement à partir de l’utilisation du téléphone, de l’utilisation des services de la société (une vingtaine : Gmail, Youtube, etc.) mais aussi à partir des données générées par l’activité des utilisateurs lorsqu’ils se rendent sur des sites tiers utilisant les services Google (notamment via les cookies Google analytics déposés sur ces sites). En bref, ces données sont susceptibles de révéler des aspects intimes de la vie privée des individus comme les habitudes de vie, les goûts, les contacts, les opinions ou encore les déplacements des utilisateurs.
  • les utilisateurs ne sont pas en mesure, en particulier en prenant connaissance du premier niveau d’information qui leur sont présenté dans les « Règles de confidentialité et conditions d’utilisation », de comprendre l’ampleur de ces traitements et leurs conséquences sur sa vie privée. Les finalités sont décrites de façon trop générique et vague au regard de la portée des traitements mis en œuvre et de leurs conséquences: « proposer des services personnalisés en matière de contenu et d’annonces, assurer la sécurité des produits et services, fournir et développer des services, etc. » ou encore «  Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. […] Les informations que nous collectons et l’usage que nous en faisons dépendent de la manière dont vous utilisez nos services et dont vous gérez vos paramètres de confidentialité ».

La CNIL reconnaît toutefois que dans un cas comme celui-ci, une information exhaustive, dès le premier niveau, serait contreproductive (trop d’infos tue l’info !) et ne respecterait pas l’exigence de transparence. Mais elle estime que l’information donnée à ce stade doit au moins permettre à l’utilisateur d’objectiver le nombre et la portée des traitements mis en œuvre. Elle recommande donc de fournir, dès le premier niveau, une vision d’ensemble en adaptant les modalités de présentation de manière à ce que les utilisateurs comprennent l’ampleur des traitements et leurs conséquences sur leur vie privée.

Troisième et quatrième constats : la CNIL constate également que l’information délivrée n’est pas assez claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de Google. Enfin, la CNIL observe que la durée de conservation de certaines données n’est pas indiquée.

Absence de consentement valable (et donc de base légale) pour la personnalisation de la publicité

Pour la CNIL, le consentement des utilisateurs n’est pas valablement recueilli pour la personnalisation de la publicité :

  • le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur les traitements de personnalisation de la publicité n’est pas aisément accessible (elle est dissiminée dans plusieurs documents et implique plusieurs actions et clics) ce qui ne permet pas à l’utilisateur de prendre conscience de leur ampleur. C’est le cas pour l’information donnée dans la rubrique « Personnalisation des annonces » qui ne permet pas à l’utilisateur de comprendre que ses données sont collectées chaque fois qu’il utilise un service, va sur un site ou une application Google (comme Google search, Youtube, Google maps, Google photo, Google analytics,…) et que toutes ces données sont ensuite combinées et réutilisées pour lui adresser du contenu publicitaire ciblé.
  • le consentement recueilli n’est pas « spécifique » et « univoque ». Lorsque l’utilisateur crée un compte, il peut modifier certains paramètres en cliquant sur « plus d’options ». Dans ces paramètres de personnalisation du compte, l’affichage d’annonces personnalisées est pré-coché par défaut. La CNIL rappelle que le consentement doit être « univoque » (art. 4.1.11) RGPD) c’est-à-dire, être donné par le biais d’un acte positif (cocher une case non précochée et pas décocher une case précochée et/ou masquée par défaut) par lequel l’utilisateur consent. Rappelons que la CJUE s’est prononcée récemment à ce sujet en matière de cookies (lire notre article ici).

La CNIL rappelle également que l’utilisateur doit consentir spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité. Ce qui n’est pas le cas puisque pour pouvoir créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation  de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ». Comme le souligne la CNIL « Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.) ».

Pour la CNIL, l’utilisateur doit pouvoir donner un consentement spécifique pour chaque finalité avant de tout accepter ou de tout refuser et ce, sans requérir d’action particulière de sa part pour y accéder (comme cliquer sur « plus d’options »).

Cette sévérité pourrait avoir des conséquences pratiques très importantes. Elle a notamment de quoi inquiéter les détenteurs de sites web qui y placent des cookies collectant des données personnelles : une bannière avec un simple bouton « OK » sur lequel cliquer ou « plus d’options » redirigeant vers une page pour paramétrer les consentements n’est donc pas suffisant.

Une sanction record à 50 millions d’euros

Google est condamné par la CNIL au paiement d’une amende administrative de 50 millions d’euros ainsi qu’une sanction complémentaire de publicité.

Ce montant est sans commune mesure avec les dernières amendes en date infligées. La CNIL justifie le montant retenu, ainsi que la publicité de l’amende :

  • les manquements constatés sont graves car ils concernent des principes essentiels du RGPD : la transparence, l’information et le consentement sont des garanties fondamentales permettant aux personnes de garder la maîtrise sur leurs données. Pour ce type de manquements, le RGPD permet des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précèdent (le montant le plus élevé étant retenu).
  • les manquements en cause sont « continus » : il ne s’agit pas d’une méconnaissance ponctuelle de la société à ses obligations, ni d’une violation habituelle à laquelle la société aurait mis fin spontanément depuis la saisine de la CNIL. Une société concernée par une procédure en cours devant une Autorité de protection des données a donc plutôt intérêt à prendre les mesures correctrices nécessaire le temps que l’Autorité se prononce.
  • les manquements sont d’autant plus graves que des milliers de personnes utilisent le système d’exploitation Android et sont donc concernées par ces traitements particulièrement massifs et intrusifs (notamment la personnalisation de publicité).
  • le modèle économique de la société (tirer profit de contenus existants sur Internet et proposer des services gratuits en compensant avec de la publicité en ligne) exige une responsabilité particulière quant à l’application des règles du RGPD.

Plus d’infos ?

En lisant la délibération n°SAN-2019-001 du 21 janvier 2019.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK