Google écope d’une amende de 50 millions d’euros pour « manquement à ses obligations » dans le cadre du RGPD.

La première condamnation faisant usage du RGPD

Le 21 Janvier 2019 fera date dans l’histoire de la protection des données personnelles. En effet, Google a écopé d’une amende de 50 millions d’euros de la part de la formation restreinte de la CNIL. Le motif ? La CNIL estime que que l’entreprise a manqué à ses obligations, notamment en matière de transparence vis à vis de ses utilisateurs sur l’utilisation de leurs données. Cette condamnation intervient suite à deux plaintes collectives qui avaient été déposées auprès de la CNIL en Mai dernier, dés l’intronisation du RGPD. On se souvient notamment de la plainte déposée par l’association la Quadrature du Net, remise au nom de 12 000 personnes, le 28 Mai 2018. La CNIL avait alors décidé de traiter cette plainte par elle-même.

Comdamnation de Google : une amende record

Il est utile de rappeler que Google avait déjà été condamné par la CNIL en 2014, pour des manquements envers la législation française en matière de protection des données personnelles (la fameuse LIL).

Mais si le motif de la condamnation est similaire, la sanction est totalement incomparable. En 2014, Google avait écopé d’une amende de 150 000 euros. A présent, sous la législation européenne, le pouvoir de sanction est bien plus lourd avec le RGPD. La condamnation de Google en 2018 s’élève à 50 millions d’euros, soit une augmentation vertigineuse de plus de 3 000% par rapport à sa précédente condamnation !

En comparaison, la plus grosse sanction jamais infligée par la CNIL avant l’application du RGPD était envers Uber pour sa fuite massive de données, que l’entreprise avait avoué aux autorités seulement un an après les faits. Le montant s’élevait alors à 400 000 euros.

Pourquoi Google a été condamné dans le cadre du RGPD

Pour sanctionner Google, la CNIL s’est basée sur les interactions des utilisateurs lors de la configuration de leur compte sur  mobile. En effet, le parcours mené sur Android par un utilisateur lorsqu’il configure son compte Google a fait preuve de plusieurs manquements selon la CNIL. Notamment en matière de transparence vis à vis des finalités pour lesquelles les données des utilisateurs sont traitées. Pour l’utilisateur, la gestion de ses données est difficile et floue, malgré la présence de différents tableaux et indicateurs. La CNIL souligne ainsi que « les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google » concernant leurs données. La firme est notamment devenue expert en Black Design, un ensemble de techniques utilisées pour influencer le comportement de l’utilisateur. Tout est fait pour que l’utilisateur accepte les conditions de traitement de ses données sans les examiner en profondeur. 

Dans un second temps, Google a été condamné pour des manquements en matière de consentement concernant la personnalisation de ses publicités. Plus précisément, le consentement est jugé non-valable pour deux motifs. Premièrement, la CNIL l’estime insuffisamment éclairé.  De plus, l’utilisateur n’a pas d’autres choix que d’accepter en bloc l’ensemble des finalités de traitement de ses données par Google afin de créer son compte. Or, le consentement doit être donné de manière distincte pour chaque finalité de traitement selon le RGPD.

En conclusion

Si le montant de cette amende peut paraître impressionnant au premier abord, il est à relativiser. Effectivement, rappelons que le RGPD prévoit un niveau de sanction à hauteur de 4% du chiffre d’affaires groupe. Ce qui reviendrait, pour Google, à quasiment 4 milliards d’euros.

Tout du moins, elle a le mérite de matérialiser les manquements liés au traitement des données personnelles, tout en rappelant combien il est essentiel d’intégrer les notions de privacy by design au sein des services proposés par les entreprises.