- La CNIL inflige une amende de 50 millions d’euros à Google LLC pour manquement à l’obligation de transparence, information insuffisante et absence de consentement.
- Les informations sur la protection des données ne sont pas facilement accessibles ; les informations sur les finalités, la durée de conservation et les catégories de données sont dispersées dans plusieurs documents liés.
- Le consentement pour la personnalisation publicitaire est inefficace : pas clair, présélectionné, visible seulement après l’action de l’utilisateur et seulement en bloc au lieu de par traitement.
- La détermination de la sanction repose sur l’ampleur du traitement des données, le caractère continu des infractions et le nombre élevé d’utilisateurs en raison de la position dominante d’Android sur le marché.
La CNIL a infligé une amende de 50 millions d’euros à Google LLC pour manquement à l’obligation de transparence, information insuffisante et absence de consentement à la personnalisation de la publicité. Cette amende fait suite à une enquête déclenchée par des plaintes déposées fin mai 2018 par None Of Your Business (“NOYB” de Max Schrems) et l’association La Quadrature du Net (“LQDN”) a été déclenchée. Il ne s’est donc écoulé que six mois environ entre la réception des plaintes et la notification de l’amende, ce qui n’a sans doute été possible que parce que le mécanisme du guichet unique ne s’applique pas à Google LLC, dont le siège se trouve aux États-Unis, c’est-à-dire dans un pays tiers.
Documents disponibles :
Lacunes constatées dans les informations relatives à la protection des données
Sur le fond, la CNIL critique le fait que les informations sur la protection des données de Google ne sont pas “facilement accessibles” au sens de l’article 12, paragraphe 1, du RGPD. La structure de l’avis de confidentialité ne permet pas de fournir des informations conformes à la loi, car les indications sur les finalités du traitement, la durée de conservation ou les catégories de données traitées sont dispersées dans plusieurs documents reliés entre eux. Il faut parfois cinq à six clics pour consulter toutes les informations, par exemple lorsque l’utilisateur veut savoir comment Google traite les données de géolocalisation.
En outre, les utilisateurs ne seraient pas en mesure de comprendre l’ampleur du traitement effectué par Google. Ce traitement serait particulièrement massif et les indications sur les finalités du traitement et les données traitées par finalité seraient trop générales et imprécises. De même, la personnalisation de la publicité ne serait pas suffisamment claire quant au fait qu’elle repose sur le consentement de l’utilisateur et non sur un intérêt légitime. Enfin, la durée de conservation des données n’est pas indiquée.
Consentement non valable
Google s’appuie sur un consentement pour la personnalisation de la publicité, mais ce consentement n’est pas valablement donné. Le consentement (c’est-à-dire l’utilisateur) n’est pas suffisamment informé, à nouveau parce que la description des traitements est dispersée dans différents documents, et le consentement n’est pas non plus suffisamment clair (“spécifique”) et sans équivoque, notamment parce que les choix possibles lors de l’ouverture d’un compte d’utilisateur ne sont affichés qu’après une action de l’utilisateur et que les options sont pré-cochées, et parce que l’utilisateur ne peut donner son consentement qu’en bloc au lieu de le donner séparément pour chaque traitement.
Calcul de la sanction
En ce qui concerne la détermination de la sanction, la CNIL mentionne les circonstances suivantes :
- l’étendue du traitement et des liens entre les données et l’importance des services de Google pour les utilisateurs ;
- le caractère continu des infractions ;
- Nombre d’utilisateurs du système Android concernés, “compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français” – une position dominante sur le marché résonne ici comme un facteur aggravant.