50 millions d’euros : c’est la somme dont devra s’acquitter Google pour manquements dans le traitement des données personnelles. Dans sa décision de justice du 19 juin 2020, le Conseil d’État confirme la condamnation prononcée par la CNIL.
Des usagers insuffisamment informés sur le traitement de leurs données personnelles
En France, 75 % des personnes possédant un smartphone utilisent le système d’exploitation Android, de Google. Mais sait-on précisément lesquelles de nos données personnelles sont collectées, et comment elles sont traitées ? Le RGPD exige que les entités qui collectent et traitent nos données personnelles nous informent de manière « concise, transparente, compréhensible et aisément accessible » sur leur utilisation. Cela pour que nous puissions consentir à leur traitement de manière « libre, spécifique, éclairée et univoque ».
Or, comme l’observe le Conseil d’État dans sa décision, sur Android, ces informations sont organisées en arborescence, ce qui rend leur consultation complexe. Difficiles à trouver et opaques, elles sont en outre lacunaires : la durée de conservation des données ou la finalité de leur traitement ne sont pas précisées.
Le ciblage publicitaire en cause
Cette absence de clarté est d’autant plus problématique que le paramétrage proposé par défaut aux utilisateurs lors de la création d’un compte Google a été jugé « particulièrement intrusif » par le Conseil d’État. Dans sa décision, ce dernier observe notamment que les paramètres liés au ciblage publicitaire sont dilués parmi d’autres. Google permet bien d’obtenir plus d’informations sur ce ciblage via un lien dédié. Mais, même à ce niveau, l’information fournie n’est pas suffisante. Dans la mesure où ces paramètres ne sont pas présentés clairement, le consentement recueilli par Google ne peut être valable.
Google n’échappera pas à sa sanction
Google avait saisi le Conseil d’État pour contester la sanction initialement décidée par la CNIL, arguant que seule l’autorité irlandaise de protection des données était habilitée à la sanctionner. Le RGPD autorise effectivement les entreprises à choisir dans quel pays de l’Union européenne leur conformité est évaluée. Mais, comme l’a rappelé le juge administratif, ce choix n’est pas rétroactif et Google avait choisi l’Irlande après la sanction de la CNIL. Au vu de la gravité et de la durée des manquements, des plafonds prévus par le RGPD et de la situation financière de Google, le juge a tranché : la sanction de cinquante millions d’euros n’est pas disproportionnée.
> DÉCISION n° 430810, « Sanction infligée à Google par la CNIL »
> Lire « Protéger nos données personnelles » dans le bilan annuel 2020 , pages 48-53