RGPD : Sanction de la CNIL contre Google, une amende record de 50 millions d’euros

Le 21 janvier dernier, la CNIL (Commission nationale de l’Informatique et des Libertés) a condamné la société Google à 50 millions d’euros d’amende. L’autorité accuse en effet le géant américain d’avoir manqué aux obligations imposées par le RGDP (Règlement général européen de protection des données). Explications.

Une sanction historique

L’amende reçue par Google est exceptionnelle à plusieurs titres. Tout d’abord, c’est la toute première fois que l’entreprise subit une sanction de la part de la CNIL. Ensuite, il s’agit à ce jour de la plus grosse amende prononcée par cette autorité dans le cadre du RGDP. Son précédent record était une sanction de 400 000 euros, prononcée à l’encontre de l’application de VTC Uber. Le RGDP autorise la CNIL à faire grimper l’amende jusqu’à 4 % du titre d’affaires annuel d’une société. Cependant, en 2017, Google avait réalisé près de 110 milliards de dollars de chiffre d’affaires. Sa sanction correspond donc à environ 0,05 % de ses revenus annuels.

Une information insuffisante des internautes

L’amende de la CNIL vient donner raison aux associations None Of Your Business (NOYB) et la Quadrature du Net, qui avaient déposé plainte contre le géant américain. Avant de prononcer sa sanction, la CNIL a analysé de près le parcours d’un utilisateur de compte Google. C’est ainsi que l’autorité a pu constater que l’information donnée aux utilisateurs sur la finalité et la durée de conservation de leurs données était trop floue pour être satisfaisante : pour obtenir tous les renseignements utiles, il est nécessaire d’activer des boutons ou de suivre des liens. Après enquête, la CNIL a par ailleurs estimé que l’exploitation des données personnelles par Google était à la fois “massive et intrusive”.

Des problèmes de consentement

Le CNIL a également jugé que Google ne recueillait pas suffisamment le consentement des internautes. Ces derniers peuvent ainsi se voir proposer des publicités adaptées à leurs intérêts, que ce soit en utilisant le moteur de recherche ou d’autres services Google comme YouTube, sans avoir eu connaissance du volume de données traitées. Plus grave, le géant américain forcerait le consentement des internautes, puisque créer un compte Google conduirait, en acceptant les conditions d’utilisation, à approuver par défaut le traitement de ses données personnelles par Google. Or, ainsi que le rappelle la CNIL, pour être en accord avec la réglementation, le consentement doit toujours être explicite.

Bref rappel sur le RGDP

Le RGDP (Règlement général européen de protection des données) constitue le texte de référence en matière de protection des données personnelles au sein de l’Union européenne. Applicable depuis le 25 mai 2018, il est plus strict que la réglementation précédente. Vous vous interrogez sur le RGPD ou bien vous vous posez des questions de conformité ? N’hésitez pas à consulter DPMS dans le cadre d’un audit RGPD pour votre entreprise : nos experts en solutions pour la protection des données personnelles sont à votre disposition pour vous conseiller.