La CNIL[1] a sanctionné la société Google[2], le 21 janvier 2019, pour avoir manqué aux obligations de transparence du RGPD[3].

La société Google développe de nombreux services, dont le système d’exploitation pour téléphones mobiles nommé « Android ». Lors de la configuration initiale d’un nouveau téléphone utilisant ce système Android, la possibilité de créer un compte Google est notamment proposé à l’utilisateur. Cette possibilité est d’ailleurs proposée spontanément à l’utilisateur, « sans action spécifique » de sa part et, dans le cas d’un refus de sa part, un message d’avertissement lui est même affiché pour l’inciter à le faire : « Votre appareil fonctionne mieux avec un compte Google, Si vous n’avez pas de compte Google, vous ne pourrez pas effectuer les actions suivantes […] - Activer les fonctionnalités de protection de l’appareil ».

La CNIL a rappelé au géant américain que, lorsque des données à caractère personnel sont traitées, comme cela est le cas lors de la création d’un compte Google au moment de l’initialisation d’un appareil Android, le RGPD demande de fournir aux personnes des informations « de façon aisément accessible » pour leur permettre de « déterminer à l’avance ce que la portée et les conséquences du traitement englobent afin de ne pas être pris au dépourvu à un stade ultérieur ».

La Commission française estime que les informations délivrées aux 27 millions d’utilisateurs français d’Android « ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension » du RGPD, et que certaines informations obligatoires ne sont pas fournies aux utilisateurs.

Sur la forme, la CNIL considère que les informations sont « excessivement éparpillées dans plusieurs documents » et parfois « difficilement trouvables », qu’un « parcours dénué de tout caractère intuitif est requis de l’utilisateur » pour accéder aux données de géolocalisation, et que quatre clics sont, par exemple, nécessaires pour accéder aux informations relatives à la personnalisation des annonces. Le tout est « combiné à un choix de titres non explicites ».

Sur le fond, la Commission estime que les « informations délivrées par la société ne permettent pas aux utilisateurs de comprendre suffisamment les conséquences particulières des traitements à leur égard ». Les finalités annoncées sont « trop génériques », par exemple : « proposer des services personnalisés en matière de contenu et d’annonces, assurer la sécurité des produits et services, fournir et développer des services, etc. » ou « les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. ». Sur les données collectées par exemple, leur description est « particulièrement imprécise et incomplète ». Concernant la base juridique, les utilisateurs ne sont pas en mesure de faire la distinction entre ce qui relève du consentement de l’utilisateur et de « l’intérêt légitime » de la société. Concernant les durées de conservation, certaines données sont conservées « pendant de longues périodes » sans fournir de durée ni de critères pour déterminer cette durée.

Dans ces conditions, la Commission considère que le « consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas suffisamment éclairé ».

Une amende de 50 millions d’euros a été prononcée à l’encontre de Google, soit 0,05 % du chiffre d’affaires mondial de l’entreprise[4].

La société a fait appel de cette décision, mais toutes ses demandes ont été rejetées.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La sanction a été émise à l’encontre de la société Google LLC, car la CNIL a considéré qu’elle correspondait au responsable du traitement, c’est-à-dire l’entité en charge de prendre les décisions et de définir les finalités. Par ailleurs, la société Google LLC étant basée aux États-Unis, le mécanisme de « guichet unique » n’entre pas en application dans ce cas. C’est donc bien la CNIL qui a la compétence pour agir, et non pas la DPC, l’organisme de contrôle irlandais, pays où est localisée la filiale européenne de Google.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. La société ALPHABET, maison mère de la société Google LLC, déclare réaliser un chiffre d’affaires de 96 milliards d’euros en 2017 (source : délibération de la CNIL).