Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé sa première condamnation dans le cadre du régime RGPD. Cette condamnation intervient suite aux plaintes collectives, qui ont fédéré plus de 10 000 signataires, déposées devant la CNIL par les associations None of Your Business (porté par le célèbre activiste autrichien Maximilian Schrems) et La Quadrature du Net, au mois de mai 2018, soit quelques jours seulement après l’entrée en application du RGPD.
Les motifs de la sanction :
Les deux associations invoquaient plusieurs griefs à l’encontre de la société Google LLC : elles lui reprochaient tout d’abord de ne pas demander le consentement aux utilisateurs pour leur proposer des publicités personnalisées. De plus, Google n’indique pas clairement la finalité de cette collecte de données, la durée de conservation de ces données, ni même le type de données utilisées pour la personnalisation des publicités. L’utilisateur n’est par ailleurs pas clairement informé du nombre de services concernés par cette collecte de données, et son consentement n’est pas recueilli de façon explicite (l’affichage des annonces personnalisées est pré-coché par défaut).
La CNIL a tout d’abord estimé que les informations fournies aux utilisateurs ne répondent pas aux exigences d’accessibilité, de clarté et de compréhension imposées par le RGPD et certaines d’entre elles, rendues obligatoires par le Règlement (article 12 et 13 du RGPD), font défaut. La CNIL constate que ce défaut de clarté nuit à la communication d’un consentement « éclairé », « univoque » et « spécifique » de la part de l’intéressé.
Le montant de la sanction :
Pour tous ces motifs, la CNIL a choisi de prendre une sanction exemplaire à l’encontre de la société Google LLC : une amende de 50 millions d’euros, ce qui représente la sanction pécuniaire la plus élevée jamais infligée par l’autorité. Si la somme semble dérisoire pour la société Google LLC, elle n’en demeure pas moins un sérieux avertissement pour les grands opérateurs. Il convient tout de même de préciser que Google a décidé de former un recours contre cette décision de la CNIL devant le Conseil d’État, comme la procédure administrative de sanction le lui permet. Affaire à suivre…
Au-delà de l’aspect financier d’une telle sanction, beaucoup d’importance a été accordée à la communication et la publicité d’une telle sanction, qui a fait vibrer le monde juridique et numérique. La CNIL est attachée à nommer les entreprises contrevenantes, afin d’informer les individus concernés. Pas sur que le comportement du géant américain véhicule une image de défenseur de la vie privée et renforce la confiance de ses utilisateurs…