Tout le monde attendait une première condamnation « significative » pour manquement au Règlement UE 2016/679 RGPD-GDPR du 27 avril 2016. Et bien c’est chose faite ! La CNIL l’a fait en condamnant Google à une amende de 50.000.000 d’€uros de sanction « administrative ».

Petit focus à propos de la délibération n°SAN 2019-001 du 21 janvier 2019.

Google LLC, société à responsabilité limitée dont le siège social se situe à Moutain View, en Californie commercialise son système d’exploitation Android pour téléphone mobile et « encourage » vivement ses utilisateurs à lier l’utilisation de ce système d’exploitation avec un compte Google.

Selon la CNIL, Google ne respecte pas les règles du RGPD en matière d’information préalable obligatoire (articles 12 et 13 RGPD) et celles concernant le consentement préalable nécessaire à certains traitements de données à caractère personnel. En effet, les conditions d’acceptation en France de la collecte et du traitement des données par Google LLC sont laborieuses, imposant de nombreux clics en ligne à l’utilisateur : « L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions » la CNIL). Au final pour la CNIL, l’utilisateur ne sait pas réellement ce qu’il accepte…

C’est la première décision significative de la CNIL sur le fondement du RGPD après une plainte de la Quadrature du Net et de l’association de Maximilian Schrems, activiste autrichien militant pour la protection des données privées qui déjà en octobre 2015 obtenait l’invalidation, par la Cour de justice de l’Union européenne, de l’accord baptisé Safe Harbor, qui encadrait le transfert des données des internautes européens vers les États-Unis.

La CNIL a alors procédé directement à un contrôle en ligne en septembre 2018, sans avoir besoin de valider une action collective des plaignants afin de pouvoir analyser la démarche et les nombreux clics nécessaires à l’utilisateur imposé par Google.

La sanction administrative à l’encontre de GOOGLE est donc chiffrée à 50 000 Euros. Notons que cette somme est relativement clémente de la part de la CNIL puisque potentiellement pour GOOGLE LLC « [qui] a réalisé un chiffre d’affaires de 109,7 milliards de dollars (soit environ 96 milliards d’euros) en 2017 » précise la CNIL, la sanction peut grimper jusqu’à environ 4 milliards d’euros.

La liste des manquements au RGPD que reproche la CNIL à Google LLC est substantielle:

  • Pas d’information préalable claire et détaillée
  • Une description floue des finalités des traitements
  • Pas de description détaillée des data collectées
  • Pas de durée précise de conservation des data
  • Pas de consentement éclairé pour la publicité

Et qu’en est-il de la procédure à venir ?

Probablement un appel dans les 4 mois devant le Conseil d’Etat, qui connait ce type de contentieux de manière exclusive en appel. Et après, pourquoi pas, une saisine de la Cour de Justice de l’Union Européenne ? Affaire à suivre….