La CNIL sanctionne Google : 50 millions d’euros !
Publié le 21/01/2019 par Etienne Wery , Bojana Salovic
La CNIL constate deux manquements : un manque de transparence et d’information, et l’absence de base légale. C’est la personnalisation de la publicité qui est au cœur du problème. Sanction : 50 millions d’euros. Pour sa première application du nouveau RGDP, la CNIL envoie un message très fort.
Un manquement aux obligations de transparence et d’information
Pour la CNIL, les informations fournies par GOOGLE ne sont pas aisément accessibles pour les utilisateurs.
- L’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du RGPD. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.
- De même, la formation restreinte constate que les informations délivrées ne sont pas toujours claires et compréhensibles, alors même ces traitements sont particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. En particulier, la formation restreinte constate que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités. De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE. Enfin, la formation restreinte relève que la durée de conservation de certaines données n’est pas indiquée.
C’est donc la conception même du système d’informations qui pose souci.
Absence de base légale
La société GOOGLE invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or la formation restreinte estime que le consentement n’est pas valablement recueilli pour deux raisons.
- Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur. Par exemple, dans la rubrique dédiée à la « Personnalisation des annonces», il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées.
- Ensuite, la formation restreinte constate que le consentement recueilli n’est pas « spécifique » et « univoque ».
C’est ici le mécanisme de consentement qui pose problème.
En particulier, la CNIL constate que même si l’utilisateur a la possibilité de modifier certains des paramètres associés à son compte, (1) cette démarche est trop complexe, (2) l’affichage d’annonces personnalisées est pré-coché par défaut et (3) le consentement « en bloc » au sujet d eplusieurs finalités n’est pas spécifique au sens du RGPD.
50 millions d’euros
C’est la première fois que la CNIL fait application des nouveaux plafonds de sanctions prévus par le RGPD. Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement.
Plus d’infos ?
La décision de la CNIL est jointe.