Décision historique rendue ce lundi 21 janvier par la Commission nationale de l’informatique et des libertés (Cnil), qui a condamné le géant de l’internet Google à une amende de 50 millions d’euros pour des pratiques non conformes au RGPD.
C’est la première fois qu’une grande entreprise du numérique se voit infliger une aussi lourde amende : 50 millions d’euros. Bien que la somme représente assez peu pour Google, qui a réalisé 110,9 milliards de dollars de chiffres d’affaires en 2017, l’amende est deux fois plus élevée que celle qui lui a été infligée par la Commission fédérale du commerce (FTC) des États-Unis en 2012. Condamné à l’époque pour avoir annoncé à tort aux utilisateurs du navigateur Safari que Google n’utilisait pas de cookies pour suivre leurs usages, le groupe a été sommé de payer une amende de 22, 5 millions de dollars.
C’est ainsi un régulateur européen, en l’occurrence français, la Cnil, qui semble asséner le coup de pression le plus crédible à Google pour le forcer à respecter la vie privée de ses utilisateurs. Cette condamnation n’aurait pas été possible sans le nouvel outil européen de protection des données, le RGPD (règlement général de protection des données), qui est entré en vigueur le 25 mai 2018. C’est ainsi en vertu de ce règlement que la Cnil a condamné Google, notamment pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité». Le RGPD donne le droit aux autorités de régulation européennes de décerner des sanctions allant jusqu’à 4% du chiffre d’affaires d’une entreprise.
Lire aussi le JDR : Data privacy : les enjeux d’une nouvelle réglementation !
L’autorité française de protection des données conclut, après avoir retracé le parcours de l’utilisateur pour créer un compte Google, que l’information concernant la protection de la vie privée est difficilement accessible : « Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ».
La Cnil estime, par ailleurs, qu’en plus d’être disséminées dans divers documents, les finalités du recueil des données ne sont pas exposées de manière claire à l’utilisateur. Il est ainsi difficile pour l’utilisateur de mesurer l’ampleur du traitement de ses données personnelles, qualifié de massif et intrusif par l’autorité de régulation. Autre point important, la Cnil accuse Google de ne pas recueillir valablement le consentement des utilisations pour la personnalisation de la publicité, comme l’exige le RGPD, car la case qui l’autorise est cochée par défaut lors de la création d’un compte.
Cette décision, que l’on peut aisément qualifier de première, appelle sans doute à de (nombreux) renouvellements, d’autant plus que d’autres géants du numérique font l’objet de plaintes. De fait, la condamnation de Google fait suite aux plaintes collectives déposées, dès l’entrée en vigueur du RGPD, par l’association française de défense des internautes, La Quadrature du Net, et None of Your Business (NOYB), une association autrichienne créée par des avocats et activistes œuvrant pour la protection de la vie privée. Ces plaintes s’adressent aux grands pontes du numérique : Google, Instagram, WhatsApp et Facebook pour NYOB et Google, Apple, Facebook, Amazon et Microsoft pour la Quadrature du Net.
La réponse de Google demeure aujourd’hui pour le moins floue. Dans un communiqué, ce dernier « étudiait » la décision de la Cnil pour « déterminer de nouvelles étapes ». Le groupe, qui a déjà joué du RGPD pour exercer des moyens de pression sur les pays européens, notamment en interdisant certains journaux français aux États-Unis jugés non conformes au Règlement, a plus d’un tour dans son sac. Cette nouvelle ne doit, par ailleurs, pas faire oublier la grave mise en péril du RGPD par l’adoption, en avril 2018, de la loi fédérale américaine Cloud Act, un outil d’ingérence et d’espionnage décomplexé qui contraint les prestataires de services et opérateurs numériques américains à fournir à l’État fédéral, s’il en fait la demande, les données stockées dans des serveurs en Europe…