En frappant Google, l’autorité de régulation des données française crée un précédent. Qui risque de faire trembler les dirigeants informatiques de toute l’Europe : les manquements aux obligations reprochés à Google en France sont communs à beaucoup d’autres acteurs. Un article d’Euractiv.
50 millions d’euros : pour la première amende RGPD , la Commission Nationale Informatique et Libertés a tenté de frapper fort. L’amende, infligée au moteur de recherche Google, est aussi la première du genre donnée par une autorité de régulation européenne.
La Cnil avait été saisie en mai dernier, dès la promulgation du règlement européen sur le traitement des données, par deux associations dont La Quadrature du net et NoneOfYourBusiness, qui militent toutes deux pour la protection des données sur le net.
« C’est la première fois que la Cnil fait application des nouveaux plafonds de sanctions prévus par le RGPD », souligne l’autorité française. « Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement. »
Ce que la France reproche à Google, c’est de ne pas laisser ses utilisateurs savoir de quelles données sur eux le géant du net dispose.
« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ».
Une déambulation bien trop compliquée, pour la Cnil, qui constate qu’il faut parfois 5 ou 6 actions pour arriver à l’information rechercher, et que les informations ne sont pas toujours claires ou compréhensibles.
Autre problème, qui risque de faire frémir bon nombre de responsables informatiques : les paramètres d’utilisation.
Pour que les utilisateurs consentent, ou non, à abandonner leurs données, et lesquelles, Google propose un cheminement trop compliqué, selon la Cnil. Et surtout, la filiale d’Alphabet a recours à bon nombre d’options « pré-cochées ».
Or cette pratique est très répandue sur Internet, qu’il s’agisse des moteurs de recherche ou d’autres acteurs.
En l’occurrence, le problème vient du fait que lors de la création d’un compte, le futur propriétaire de ce compte doit cliquer sur « Plus d’options » pour pouvoir personnaliser le traitement de ses données, par exemple par rapport à la publicité. Sans quoi il se voit automatiquement attribué un profil par défaut qui inclut la publicité.
Concernant l’usage des données en lui-même, la Cnil considère que les utilisateurs de Google ne sont pas en mesure de fournir un consentement éclairé, ni spécifique et univoque, non seulement parce que la modification des paramètres d’utilisation nécessite plusieurs manipulations mais aussi parce que certaines options sont précochées.
« Les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée » déplore la CNIL.
Les amendes liées au règlement RGPD peuvent atteindre 4 % du chiffre d’affaires mondial d’une société selon l’article 83 du règlement RGPD, souligne la formation restreinte de la CNIL dans sa décision. En 2017, la société Alphabet a réalisé un chiffre d’affaires de 96 milliards d’euros.
L’autorité de régulation regrette aussi que les violations du RGPD perdurent à ce jour malgré les alertes. « Chaque jour des milliers de Français procèdent à la création d’un compte Google » sur Android, abandonnant ainsi leurs données au géant californien.
Une remarque en forme de critique claire, à laquelle Google a répondu que seuls certains utilisateurs créaient effectivement un compte, et que seulement 7 % des Français utilisant un compte Google sont au final concernés par les manquements évoqués par la CNIL.
Un montant beaucoup trop important selon l’autorité administrative, qui remet d’ailleurs le chiffre en question.
La publication de la dite délibération sur le site de la Cnil et sur le site de Legifrance fait partie de la sanction.
