Déjà huit mois que le fameux Règlement général européen 2016/679 sur la protection des données à caractère personnel – le RGPD – est entré en application et que la Cnil instruit des plaintes à l'encontre de la société Google.
Une sanction importante
La Commission nationale informatique et liberté vient de rendre une sanction d'ampleur d'un montant de 50 millions d'euros qui marquera les esprits.
Si cette somme ne doit pas représenter une montagne pour le géant du net, elle risque toutefois de lancer un mouvement de sanctions de la part des autres Cnil européennes.
C'est la première fois que la Cnil fait application des nouveaux plafonds de sanctions prévus par le RGPD. Le montant retenu, ainsi que la publicité de l'amende, se justifient, selon elle, par la gravité des manquements constatés qui concernent des principes essentiels du règlement : la transparence, l'information et le consentement.
Les 50 millions se justifient aussi et surtout compte tenu de la place prépondérante qu'occupe le système d'exploitation Android sur le marché français touchant des millions d'utilisateurs chaque jour, et parce que les manquements retenus perdurent.
De plus, la formation restreinte de la Cnil rappelle que le modèle économique de Google repose en partie sur la personnalisation de la publicité de sorte que lui incombe une responsabilité toute particulière dans le respect de ses obligations.
Une instruction rapide et efficace
Les associations None Of Your Business et La Quadrature du Net n'ont pas perdu de temps pour porter plainte car elles l'ont fait dès l'entrée en vigueur du RGPD, le 25 mai 2018. Leurs deux requêtes collectives, déposées les 25 et 28 mai, représentaient une partie non négligeable de l'opinion publique, La Quadrature étant mandatée par 10 000 personnes.
Dans ces deux plaintes, les associations reprochaient à Google de ne pas disposer d'une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.
La Cnil a mené une instruction somme toute assez rapide compte tenu de l'ampleur du dossier, car sa formation restreinte a prononcé la fameuse sanction le 21 janvier dernier.
Sur la base des investigations menées, la formation restreinte - chargée de prononcer les sanctions - a constaté deux séries de manquements au RGPD : aux obligations de transparence, d'information et de disposer d'une base légale pour les traitements de données personnelles. La Cnil estime ainsi que le consentement des utilisateurs des services Google n'est pas valablement recueilli pour traiter leurs données à des fins de personnalisation de la publicité. En effet, il apparaît clairement que leur consentement n'est pas suffisamment éclairé.