Accueil Les médias Internet RGPD : la CNIL frappe fort

RGPD : la CNIL frappe fort

71
0

C’est d’une amende record dont vient d’écoper Google pour non respect des règles européennes posées par le RGPD en matière de protection des données personnelles. Une amende de 50 millions d’euros qui, selon la CNIL, se justifie par « la gravité des faits ».

L’année 2019 commence fort à la CNIL. Ce lundi 21 janvier, elle prononce une amende record désormais possible par application du barème des amendes prévu par le RGPD. Rappelons que les sanctions peuvent aller jusqu’à 4% du chiffre d’affaires mondial (et avec Google on a encore de la marge…).

 

C’est en mai 2018, et cela dès le 25 (jour de l’entrée en vigueur du RGPD!) que la CNIL avait été saisie de 2 demandes d’associations de défense des internautes : la Quadrature du Web et None of Your business. La Quadrature du Web agissait au nom de 10 000 internautes. Les faits concernent le parcours de l’utilisateur sur un smartphone Android désireux de créer un compte pour utiliser son smartphone. Pour les associations plaignantes, la demande de consentement ne respecte pas les règles imposées par le RGPD.

 

Alors, que peut-on reprocher en l’espèce au géant du web. En voici un petit florilège dressé par la CNIL :

source : demarchesadministratives.fr

  • des informations pas aisément accessibles à l’internaute, notamment parce que disséminées dans plusieurs documents, et parfois avec des boutons ou des liens à activer. De quoi décourager l’internaute, même soucieux de la protection de ses données. L’enquête révèle la nécessité, parfois, de 5 à 6 clics pour pouvoir accéder à une information
  • les finalités décrites de manière trop générique,
  • certaines durées de conservation des données qui ne sont pas mentionnées
  • une case pré cochée pour l’acceptation de l’affichage des publicités personnalisées,
  • les catégories de données utilisées pour la personnalisation de la publicité ne sont pas précisées
  • et même une acceptation « en bloc« . Ainsi, avant de créer son compte, l’internaute se voit proposer : « J’accepte les conditions générales d’utilisation de Google » ou encore « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ».

Ces pratiques sont en effet loin des exigences du RGPD qui requiert un consentement « positif » et « univoque ». La CNIL en déduit que l’internaute n’est pas en mesure de comprendre l’ampleur des traitements mis en place par Google alors que ceux-ci sont massifs et intrusifs.

Pour la CNIL, le consentement de l’internaute n’est pas, dans ces conditions, donné de manière éclairée et prononce donc une amende record de 50 millions d’euros, dont le montant se justifie « par la gravité des manquements constatés qui concernent les principes essentiels du RGPD : la transparence, l’information, le consentement »

Le 24 janvier Google a déclaré son intention de faire appel de la décision de la CNIL auprès du Conseil d’État.

A lire également :

  • RGPD – de nouvelles obligations pour les marques – 5 mars 2018
  • RGPD – 1, le consentement en 10 questions, 28 mai 2018
  • RGPD – 2, le traitement en 10 questions, 3 juin 2018