Récemment, la commission irlandaise de la protection des données (DPC) a annoncé l’ouverture d’une enquête à l’encontre de Google. La raison ? Le géant du web ignorait les limites fixées par le RGPD dans le cadre de ses mécanismes de publicité ciblée. Si la probabilité d’une sanction est grande, l’issue de l’enquête est toujours incertaine puisque cette dernière n’en est qu’à ses débuts.

Pour rappel, en début d’année, la CNIL a déjà prononcé une sanction administrative de 50 millions d’euros à l’encontre de Google. Le cas du géant servira certainement d’exemple aux organisations réticentes à l’idée de se conformer au nouveau règlement.

Le système publicitaire de Google, non conforme au RGPD ?

Google Irlande fait depuis peu l’objet d’une enquête de la DPC, l’équivalent local de la CNIL. L’objet de l’enquête ne porte pas sur un simple détail. Si l’on en croit les dires de l’autorité de régulation, « l’objectif de l’enquête est d’établir si le traitement des données à caractère personnel effectué à chaque étape d’une opération publicitaire est conforme aux dispositions du RGPD. Les principes de transparence, ainsi que les pratiques de conservation des données de Google, seront examinés.

Il faut noter que dans cette affaire, la DPC ne s’est pas saisie d’elle-même. L’ouverture de cette enquête fait suite à un nombre relativement important de plaintes dont une en particulier a fait parler d’elle. Il s’agit de celle déposée par Johnny Ryan, du navigateur Brave.

Quel est l’objet de la plainte ?

C’est donc la plainte de Brave, le navigateur qui se veut être une alternative plus respectueuse de la vie privée que Google, qui a tout déclenché. Brave explique notamment qu’à chaque fois qu’un internaute visite un site et voit s’afficher dessus une publicité comportementale, c’est qu’ailleurs, ses données personnelles ont été diffusées à des entreprises spécialisées dans la technologie publicitaire. Outre le contenu consulté, des données personnelles peuvent être concernées : la géolocalisation, la description de l’appareil, l’adresse IP… Des données sensibles peuvent même être exposées : origine ethnique, courant politique, orientation sexuelle…

Quelle est la sanction possible ?

Puisque l’enquête de la DPC n’en est qu’à ses débuts, il est difficile de dire si Google sera sanctionné ou non. Il reste qu’en cas de condamnation, le RGPD donne la possibilité au DPC de prononcer des sanctions financières pouvant représenter 4 % du chiffre d’affaires mondial de l’entreprise incriminée. Une telle sanction ne serait pas minime, même pour Google dont le chiffre d’affaires annuel avoisine la centaine de milliards de dollars.

Que tirer de toute cette histoire ? Et bien, le cas de Google devrait inciter les entreprises non conformes à se mettre en conformité avec le RGPD. D’autant plus que depuis le début de l’année, les sanctions commencent à pleuvoir. Pour le cas de la France, la CNIL se montre de plus en plus sévère avec les contrevenants. Un choix compréhensible si l’on pense à l’augmentation du nombre de plaintes qu’elle a récemment reçues (plus de 11 000 plaintes en 2018, soit une augmentation de plus de 30 % par rapport à 2017).