La CNIL sanctionne Google d'une amende de 50 millions d'euros
La Commission Nationale de l'Informatique et des Libertés (CNIL) a annoncé lundi 21 janvier avoir infligé une amende record de 50 millions d'euros à Google, en raison de l'absence d'une base juridique valable - conformément au RGPD - pour exploiter les données personnelles de ses utilisateurs.
Je m'abonneC'est une somme astronomique que Google devra payer pour ne pas avoir respecté le Règlement général sur la protection des données personnelles (RGPD), en vigueur depuis le 25 mai 2018. La CNIL a ainsi infligé, lundi 21 janvier, une amende record de 50 millions d'euros au mastodonte américain "pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité".
La CNIL reproche à Google de ne pas informer suffisamment clairement ses utilisateurs sur l'exploitation de leurs données personnelles pour la personnalisation des ses publicités. L'autorité a ainsi reçu, en ce sens, des plaintes collectives des associations None Of Your Business et de La Quadrature du Net, en mai 2018. La Cnil a ensuite procédé, en septembre 2018, à un contrôle en ligne, en analysant le parcours d'un utilisateur et les documents auxquels il a accès en créant un compte Google sur son mobile, sous Android. Une formation restreinte a constaté des manquements quant aux obligations de transparence et d'information. "La formation restreinte relève que les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs, indique la Cnil dans son communiqué. [...] Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu'il est nécessaire d'activer pour prendre connaissance d'informations complémentaires." De plus, la durée de conservation de certaines données n'est pas indiquée et le consentement recueilli n'est pas "spécifique" et "univoque".
"En outre, les manquements retenus perdurent à ce jour et sont des violations continues du Règlement. Il ne s'agit pas d'un manquement ponctuel, délimité dans le temps", tranche la Cnil. La Commission nationale de l'informatique et des libertés est la première instance de régulation européenne à sanctionner une grande plateforme internet mondiale en utilisant les dispositions du RGPD.
Pour aller plus loin :
- La Cnil met en demeure Direct Energie pour manquement au recueil de consentement
- Le recueil du consentement, le principal défi des marques
- Seuls 65% des utilisateurs donnent leur consentement
- Comment recueillir le consentement explicite