RGPD : La CNIL prononce une sanction de 50 millions d’euros à l’encontre de Google

Actualité
RH RGPD

La CNIL sanctionne la société Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

RGPD : La CNIL prononce une sanction de 50 millions d’euros à l’encontre de Google
Publié le
Télécharger en PDF

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. C’est la 1ère fois que la CNIL prononce une telle sanction.

Les faits

Les 25 et 28 mai 2018, la CNIL a été saisie de 2 plaintes collectives déposées en application du RGPD (Règlement général sur la protection des données). De manière cumulée, ces plaintes regroupaient les réclamations de 9974 personnes.

La 1ère plainte indiquait notamment que les utilisateurs de terminaux mobiles Android sont tenus d’accepter la politique de confidentialité et les conditions générales d’utilisation des services de Google et qu’à défaut d’une telle acceptation, ils ne pourraient utiliser leur terminal.

La 2nde estime quant à elle, qu’indépendamment du terminal utilisé, Google ne dispose pas de bases juridiques valables pour mettre en œuvre les traitements de données à caractère personnel à des fins d’analyse comportementale et de ciblage publicitaire.

Un contrôle en ligne a été effectué le 21 septembre 2018 afin de vérifier la conformité de tout traitement relatif à l’utilisation du système d’exploitation Android pour équipement mobile, incluant la création d’un compte Google, à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et au RGPD.

A l’issue d’une instruction, le rapporteur a fait notifier à la société Google un rapport détaillant des manquements relatifs aux articles 6, 12 et 13 du RGPD qu’il estimait constitués en l’espèce.

La décision de la CNIL

La formation restreinte de la CNIL prend acte des progrès réalisés ces dernières années par la société Google dans sa politique d’information des utilisateurs, dans le sens de la plus grande transparence et d’une maîtrise renforcée sur leurs données attendues par ceux-ci.

Toutefois, elle estime que les exigences du RGPD, dont la mise en œuvre doit être appréciée à l’aune de la portée concrète des traitements de données à caractère personnel en cause, ne sont pas respectées.

En 1er lieu, elle rappelle qu’en application des dispositions de l’article 12 du RGPD, les informations doivent être fournies de façon aisément accessible.

Or elle constate que compte tenu de l’architecture générale de l’information choisie par la société, certaines informations sont difficilement trouvables en l’espèce (notamment s’agissant des traitements de personnalisation de la publicité et des données de géolocalisation, ou de la durée de conservation des données personnelles).

Elle relève ainsi un défaut global d’accessibilité des informations délivrées par la société dans le cadre des traitements en cause.

En 2nd lieu, la formation restreinte considère que le caractère clair et compréhensible des informations délivrées, exigé par l’article 12 du RGPD, doit s’apprécier en tenant compte de la nature de chaque traitement en cause et de son impact concret sur les personnes concernées.

Concrètement, elle relève que les informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard, notamment de mesurer la portée des principaux traitements sur leur vie privée.

Au final, la formation restreinte considère qu’un manquement aux obligations de transparence et d’information telles que prévues par les articles 12 et 13 du Règlement est caractérisé et que le consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas suffisamment éclairé.

Elle relève, enfin, que les manquements retenus perdurent et sont des violations continues du règlement. Il ne s’agit donc pas d’un manquement ponctuel, délimité dans le temps.

Optant pour une action « répressive » sans mise en demeure préalable du responsable des traitements, la CNIL fait application pour la 1ère fois des nouveaux plafonds de sanctions prévus par le RGPD.

Référence

Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC.