e-novinfo Digital
RGPD : Google frappé de 50M d’euros d’amende
Lors de la rentrée en vigueur du RPGD (règlement de protection des données personnelles), le 25 mai dernier, de nombreuses plaintes ont immédiatement été déposées à l’encontre des géants du net. Au nom d’associations, de regroupements d’individus ou simplement aux noms propres de personnes physiques s’estimant lésées par le traitement de leur données par ces entreprises, plusieurs autorités gouvernementales avaient été saisies dès l’entrée en vigueur de ce règlement.
Tremblez, géants
Comme le communiqué de la CNIL le rappelle, c’est la première fois que les plafonds de ce type de sanction « explosent ». Le RGPD permettant d’infliger des amendes parfois énormes, le préjudice le justifiant, l’amende se chiffre donc à 50M d’euros.
D’autres plaintes ont été déposées contre les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et il y a fort à parier que d’ici peu de nouvelles sanctions seront prises, et les records tomber. Il va être intéressant d’entendre les justifications des accusés, et leur réaction à propos des sommes à régler.
Dans les faits
Dans leur communiqué, la CNIL détaille la procédure qui a mené à cette sanction. Après le dépôt des plaintes, la commission s’est tout d’abord concertée avec ses alter-ego européens afin de déterminer si elle était compétente dans ce dossier. En effet, les plaintes doivent être traitées par l’autorité du pays dans lequel l’entreprise possède son « référent ».
En l’occurrence, Google n’en a pas établi (ce qui constitue une première infraction au règlement).
La CNIL décrit 2 manquements cruciaux de la part de l’entreprise américaine.
En premier lieu, et le plus important, la transparence et l’information au public. Qui est, rappelons-le, le leitmotiv du RGPD. Plus précisément, une grande part des obligations égales ne sont peu ou pas du tout remplies, notamment l’information claire et précise concernant le but de la récolte de données personnelles. Récolte qu’on sait particulièrement fructueuse de la part de Google, qui n’a pas l’habitude de faire dans la demi-mesure.
La CNIL reproche notamment la difficulté d’accession aux informations désormais obligatoires, et censées pouvoir être accessibles aisément, et écrit notamment « que les informations délivrées ne sont pas toujours claires et compréhensibles ». Donc, en plus d’être relativement inaccessibles, ces informations sont parfois comparables à des hiéroglyphes.
Second point important, la CNIL relève une absence de demande de consentement satisfaisante. En deux points :
- Les informations données au sujet de la récolte des données personnelles n’est pas suffisamment explicite et est lacunaire.
- Le consentement de l’utilisateur est présupposé, alors qu’il ne doit pas l’être. Le règlement prévoit en effet que celui-ci doit opérer une action, telle que cocher une case, pour l’accepter. La case étant précochée par Google, le RGPD n’est pas appliqué.
Pourquoi une telle somme?
Comme nous le disions, les plafonds sont désormais très peu limités avec l’application du RGPD, remplaçant l’ancienne loi devenue obsolète et dont les montants d’amende maximum étaient ridicules, par rapport à la puissance financière de beaucoup d’entreprises du secteur.
Ici, la CNIL justifie facilement ce montant.
Déjà, le Règlement est bafoué assez simplement sur les plus élémentaires des dispositions à prendre. Il en s’agit pas là d’une ligne manquante dans les conditions générales ou d’une erreur dans un contrat avec un sous-traitant, mais d’interactions directes avec les individus physiques, et qui concernent directement une très grande part des habitants de l’Union Européenne, ce qui est relevé dans le communiqué.
La Commission note aussi que les manquements -graves- relevés n’ont pas été corrigés par Google, qui semble ne pas s’en soucier beaucoup. Il est vrai que finalement, 50M, ça ne représente pas grand chose pour eux, voire rien du tout…
