Le 21 janvier, la CNIL a frappé un géant du net, pour non-respect du RGPD européen. Google s’est vu infliger une amende de 50 millions d’euros pour ne pas avoir informé clairement sur son utilisation des données de ses utilisateurs. Une affaire complexe, dont les suites et conséquences devront être suivies de très près.
C’est une première. Le RGPD est entré en vigueur le 25 mai 2018, et c’est la première fois qu’r un régulateur européen utilise ses principes pour infliger une amende à une multinationale du numérique. Rappelons que ce RGPD encadre drastiquement l’utilisation que les entreprises font des données de leur utilisateurs, en la soumettant notamment à un consentement clair. Les amendes, en cas de manquement, peuvent atteindre 4% du chiffre d’affaire de l’entreprise contrevenante.
50 millions d’euros d’amende pour Google
Et, sur ce dossier, la Cnil a été la première à dégainer en Europe. Un rappel à l’ordre en novembre 2018, non suivi d’effet. Puis le couperet tombe. Ce lundi 21 janvier, Google a été condamné à une amende de 50 millions d’euros pour non-respect du RGPD en France. La somme est frappante, médiatiquement, mais elle est loin du maximum prévu par le règlement européen (pour Google, plus de 4 milliards d’euros).
La firme de Mountain View a d’ailleurs décidé de se pourvoir devant le Conseil d’Etat pour contester cette décision : l’enjeu est grand, car c’est le premier procès de ce type, qui risque de donner le « la » à l’ensemble de l’Union Européenne.
10 000 signatures sur la plainte collective
A l’origine de l’offensive de la CNIL, deux plaintes collectives, déposées par les associations None of Your Business et La Quadrature du Net (QDN) devant la CNIL, et fédérant plus de 10 000 signatures. Ce qui est reproché à Google ? Un défaut d’information sur l’utilisation faite des données de ses utilisateurs. Certes, la firme demande bien à ses utilisateurs un consentement. Mais dans un brouillard le plus épais possible.
Premier niveau de reproche, classique chez les GAFA et leurs amis : « les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs ». Pour comprendre à quoi vous consentez, comment sont utilisées vos données ou comment révoquer une autorisation, il vous faut multiplier les menus, sous-menus et boutons. Certaines informations nécessitent ainsi jusqu’à six étapes pour être découvertes.
La CNIL dénonce des traitements de données « particulièrement massifs et intrusifs »
Deuxième niveau de reproche : les utilisateurs de services Google ne sont « pas en mesure de comprendre l’ampleur des traitements mis en place par Google. Or, ces traitements sont particulièrement massifs et intrusifs », a jugé la CNIL. Via la galaxie Google, une vingtaine de consentements sont en jeu, difficilement discernables.
Pire, « les finalités sont décrites de façon trop générique et vague » : vous ne savez même pas vraiment à quoi vous consentez, et à quoi seront utilisées vos données. Enfin, « la durée de conservation de certaines données n’est pas indiquée », alors que c’est obligatoire.
Google vous force à consentir en bloc à tout ce que la firme désire
Troisième niveau de reproche : vous ne savez pas pourquoi vous consentez à partager vos données. « Dans la rubrique dédiée à la « Personnalisation des annonces », il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées » détaille la Cnil.
Quatrième niveau de reproche : par défaut, Google vous fait tout accepter. « Non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple) » pointe ainsi la CNIL. Et, au moment de créer un compte, la firme de Mountain View vous force à « consentir en bloc pour toutes les finalités poursuivies par Google ».
Une victoire en demi-teinte, dont les suites doivent être suivies de très près
Aucun triomphalisme chez les plaignants, pourtant, à l’annonce de l’amende. La QDN s’est déclarée déçue du montant réduit de la sanction, trop loin du maximum autorisé. L’association regrette également que la CNIL n’ait attaqué Google que sur l’aspect le moins défendable de ses pratiques (la configuration d’un smartphone Android), mais qui n’est qu’une infime partie de ses manquements au RGPD.
De plus, en se présentant devant le Conseil d’Etat, Google va gagner du temps, et espère même empêcher toute procédure judiciaire pour un motif équivalent dans le reste de l’Union Européenne tant que tous les recours français ne sont pas épuisés.
Reste que cette décision fera date. Elle pointe des manquements partagés par d’autres géants du net. Elle peut aussi être le point de départ d’une offensive massive, venant de toute l’Europe, contre ces manières de respecter faussement le RGPD en trompant les utilisateurs et en les poussant à consentir à n’importe quoi. Affaire à suivre de très près.