La Cnil vient de condamner Google à une amende de 50 millions d’euros pour violation du RGPD. Cette condamnation repose sur le fait que Google n’informe pas assez clairement ses utilisateurs, qui ne disposent donc pas des éléments suffisants pour donner un consentement éclairé au traitement de leurs données personnelles. Décryptage du carton rouge de la Cnil.
Violation du RGPD par Google : violation du principe de transparence
Le RGPD a renforcé le principe de transparence qui s’applique à tout traitement de données personnelles. Ce principe, dont sont issus plusieurs droits comme le droit à l’information, implique de faire connaître aux personnes dont on collecte les données toutes les informations concernant cette collecte : quelles données sont collectées ? Comment sont-elles collectées, conservées et analysées ? Dans quels buts ? Combien de temps ? A qui sont-elles envoyées ? Etc.
Si votre entreprise collecte des données personnelles, vous devez porter à la connaissance des personnes concernées ces informations, soit dans des clauses contractuelles, soit à travers des cases à cocher dans votre bandeau cookies, soit dans la politique de confidentialité de votre site web, par exemple.
Ici, la Cnil a considéré que Google ne rendait pas assez accessible ces informations à ses utilisateurs. En effet, toutes ces informations se trouvaient dans plusieurs documents et sur plusieurs différentes pages, et il fallait parfois cliquer 5 ou 6 fois afin d’obtenir l’information désirée par l’utilisateur.
De plus, la Cnil a considéré que les informations mises en ligne n’étaient pas assez claires et compréhensibles. En effet, vous devez informer clairement les personnes dont vous collectez des données, sur l’ensemble des actions que vous réalisez avec ces données.
Violation du RGPD par Google : violation du recueil du consentement
Si vous collectez des données personnelles, vous devez vous assurer que vous en avez le droit, c’est-à-dire notamment que vous disposez d’une « base légale ». Le consentement d’une personne est une des bases légales possibles : si celle-ci a donné son accord exprès et éclairé pour que vous collectiez ses données, vous pourrez alors le faire.
Ici, la Cnil a reproché à Google que le consentement de ses utilisateurs n’était pas assez éclairé. Un utilisateur de Google, en acceptant que l’entreprise américaine collecte et utilise ses données, n’a en réalité pas assez d’informations pour connaître et comprendre toutes les utilisations qui vont être faites de ses données par Google et ses nombreux services. Le consentement est donc vicié.
Aussi, le consentement n’est ni « spécifique », ni « univoque » comme l’impose le RGPD. En effet, un utilisateur de Google est obligé de cliquer sur « Plus d’options » lors de son inscription s’il veut prendre connaissance de l’utilisation que fera Google de ses données. Or, s’il ne clique pas dessus afin de paramétrer ces informations, l’ensemble des paramètres, et notamment la publicité ciblée dont il fera l’objet, est précochée et acceptée d’office, ce qui est interdit par le RGPD.
Enfin, à la création d’un compte, les boutons « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité » incitent les utilisateurs à tout accepter en bloc, ce qui est désormais interdit par le RGPD.