La Cnil, le gendarme français des données personnelles, a annoncé lundi avoir infligé une amende record de 50 millions d'euros à Google, reprochant au géant américain de ne pas informer suffisamment clairement ses utilisateurs sur l'exploitation de leurs données personnelles.
La Commission nationale de l'informatique et des libertés devient ainsi la première instance de régulation européenne à sanctionner une grande plateforme internet mondiale en utilisant les dispositions du nouveau règlement européen sur la protection des données personnelles (RGPD) entré en vigueur le 25 mai. Le nouveau texte permet d'infliger des sanctions allant jusqu'à 4% du chiffre d'affaires mondial pour manquement aux obligations de protection des données personnelles des citoyens européens.
"Il faut parfois jusqu'à cinq clics pour accéder à une information". Pour son enquête, la Cnil a accompli le parcours que doit faire un nouvel utilisateur de smartphone Android (le système d'exploitation pour smartphone de Google), pour établir un compte Google et se servir de son appareil. "Nous ne nions pas que Google informe" l'utilisateur qui ouvre un compte de l'exploitation qui sera faite de ses données, a expliqué Mathias Moulin, le directeur de la protection des droits et des sanctions à la Cnil. "Mais l'information n'est pas aisément accessible, elle est disséminée dans différents documents" que l'internaute ne prendra jamais le temps de consulter, a-t-il indiqué.
"Il faut parfois jusqu'à cinq clics pour accéder à une information", a-t-il ajouté, estimant qu'au final, Google ne proposait pas une information "claire et compréhensible".
Deux plaintes avaient été déposées à la Cnil. La sanction fait suite à deux plaintes séparées déposées à la Cnil contre Google par deux associations de défense des internautes, la Quadrature du Net (France), et None Of Your Business (NOYB). Si Google veut faire appel de cette sanction, il devra saisir le Conseil d'État.
"Les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées", a résumé la Cnil dans son communiqué de presse.