Google / RGPD : une condamnation pour l’exemple

 In Business, Digital, Legal

Sources : AFP, UFC, Les Echos

En condamnant  Google à une amende de 50 millions d’euros, la Cnil (Commission nationale de l’informatique et des libertés) a sanctionné l’entreprise pour non respect du nouveau règlement européen sur la protection des données personnelles (RGPD). Bien que Google continue de contester les motifs de cette condamnation, il faut porter un regard attentif sur ce qui ressemble beaucoup à une mise en garde adressée à l’ensemble de la communauté du numérique.

Une sanction logique et argumentée

La commission reproche à Google deux entraves au RGPD (Règlement général sur la protection des données) entré en vigueur le 25 mai 2018, censé renforcer les droits des consommateurs, qui doivent être explicitement informés et donner leur accord à la collecte de leurs données.

D’abord, la CNIL considère que Google ne respecte pas les obligations du RGPD en matière de transparence et d’information : l’entreprise ne fait pas un effort pédagogique suffisant pour que les utilisateurs soient en mesure de comprendre les motifs de la collecte de données et l’usage qui en est ensuite fait. La CNIL détaille ainsi que « des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires ». Ce n’est donc pas l’existence de ces informations qui est en cause, mais bien la difficulté pour y accéder.

Ensuite, le consentement. Avec le RGPD, l’accord préalable de l’utilisateur est obligatoire avant que l’entreprise ne puisse collecter des données . Ce que le RGPD appelle le « recueil de consentement » obéit à des règles strictes : il doit ainsi être éclairé, spécifique et univoque. Là encore, le reproche est celui de la clarté mais aussi de la spécificité, comme par exemple avec les publicités ciblées où le consentement donné à Google sur ce stricte sujet ouvre en fait une autorisation plus générale pour un ensemble de services (Search, Maps, Photo…) sans que l’utilisateur n’en soit informé.

Contestation par Google

Google fait appel de la décision. Sur le fond, ses arguments ressemblent à ceux déjà entendus par le passé puisque l’entreprise conteste le fait de ne pas avoir cherché à répondre le plus scrupuleusement possible aux règles du RGPD. Nous ne sommes pas loin de la doctrine du « bon samaritain » qui connaît un certain succès en droit dans les pays anglo-saxon mais qui ne passe toujours pas la barre dans notre pays.

En réalité, comme le relève notamment l’UFC, l’argument véritablement défendu est de procédure puisque Google met en doute la légitimité de la CNIL à se prononcer dans ce dossier, son siège étant en Irlande du nord et non en France. La CNIL maintien de son côté qu’elle est compétence, notamment au motif que c’est l’activité de Google en Europe qui est sanctionnée et non son siège social. Le Conseil d’Etat devra donc se prononcer.

Le montant (record) de l’amende, 50 millions d’euros, n’est pas anodin. Il est important, mais ne correspond qu’à 0,05% des revenus de l’entreprise alors que le RGPD autorise des sanctions à hauteur de 4% du CA global de l’entreprise mise en cause. La CNIL semble donc sanctionner durement mais, pour le moment encore, plus dans la perspective de montrer à l’ensemble des opérateurs concernés que le RGPD n’est pas un texte sans conséquences sur ceux qui ne le respectent pas. Il n’en sera sans doute pas toujours ainsi.

Recent Posts
Contactez-nous

Laissez nous un message nous vous contacterons dans les plus bref délais.

Illisible? Changez de texte. captcha txt
carton rouge