Google n’a pas correctement appliqué le RPGD d’après la CNIL. La firme manque notamment de transparence autour de l’utilisation des données personnelles.

Le siège de GoogleLe RGPD est entré en vigueur en mai 2018, et les sites et services ont dû se mettre en conformité lorsqu’ils sont visités depuis l’Europe. Cette mise en conformité s’est fait avec plus ou moins de succès, et s’était rapidement fait suivre d’une plainte de la part de l’association européenne None Of Your Business, et l’association La Quadrature du Net, à l’encontre de Google, mais aussi Facebook et ses services Instagram et WhatsApp.

Il était reproché à ces services de trop forcer la main de l’utilisateur pour faire accepter les conditions d’utilisations du service, notamment en indiquant l’option « accepter les conditions » de façon plus prégnante que pour les autres options.

Manque de transparence, d’information et de base légale

La CNIL annonce aujourd’hui avoir prononcé une sanction de 50 millions d’euros à l’encontre de Google. Cela représente un chiffre d’affaires que le géant réalise en seulement 3 heures et 20 minutes (selon le chiffre d’affaires réalisé au deuxième trimestre de l’année fiscale 2018). Pour arriver à cette décision, la commission a notamment procédé à des contrôles en ligne sur les services de Google en septembre 2018.

En premier lieu, la CNIL reproche à Google un manque de transparence et d’information. Les informations fournies par Google concernant l’utilisation des données personnelles ne sont pas accessibles suffisamment facilement. Par exemple pour obtenir des informations complètes sur la collecte de ses informations pour la personnalisation des publicités, l’utilisateur doit réaliser jusqu’à 5 ou 6 actions.

 Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. 

À cause de ce manque d’accès à l’information, l’utilisateur ne peut pas prendre une décision éclairée concernant l’utilisation de ses données. Autre problème, le caractère « univoque » de cette décision. Pour être univoque, la décision doit se faire par un acte volontaire de l’utilisateur, et non avec un choix par défaut. Autrement dit, ici le fait de devoir cliquer sur « plus d’options » puis d’avoir à décocher à la main les options, pose problème.

La première condamnation d’une série ?

Google n’est pas la seule entreprise visée par des plaintes de la part d’associations. Cette condamnation de la CNIL pourrait donc être suivie d’autres, à l’encontre de Facebook ou d’autres sociétés connues pour l’exploitation des données personnelles, si ces firmes ne respectent pas correctement le RPGD.

À lire sur FrAndroid : Google et Facebook : des « interfaces trompeuses » pour contourner le RGPD selon UFC-Que Choisir