RGPD : La CNIL inflige une amende record à Google

La CNIL frappe un grand coup. Ce lundi, l'autorité de protection des données personnelles en France, a annoncé avoir infligé une amende d'un montant record de 50 millions d'euros à Google. La CNIL administre ainsi la plus grosse amende de son histoire et devient également la toute première instance de régulation européenne à sanctionner une grande plateforme internet mondiale en utilisant les dispositions du règlement européen sur la protection des données personnelles, le RGPD, entré au vigueur au printemps dernier. Le nouveau texte permet d'infliger des sanctions allant jusqu'à 4% du chiffre d'affaires mondial de l'entreprise incriminée pour manquement aux obligations de protection des données personnelles des citoyens européens. Dans le cas de Google, enquête à l'appui, l'autorité a estimé que le géant américain du web n'informe pas suffisamment les internautes sur le traitement de leurs données.

La CNIL a relevé trois principaux manquements pour justifier cette amende. Elle pointe un déficit de transparence et des informations "pas aisément accessibles pour les utilisateurs". La CNIL estime ainsi que les utilisateurs n'ont pas les informations nécessaires pour "comprendre l'ampleur des traitements" des données par Google, dont l'exploitation est par ailleurs jugée "massive et intrusive" par l'autorité. L'autorité relève également une absence de consentement valable pour la personnalisation de la publicité. "Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu'il est nécessaire d'activer pour prendre connaissance d'informations complémentaires", déplore-t-elle.

La sanction infligée par la CNIL fait suite à deux plaintes séparées déposées contre Google par deux associations de défense des internautes, la Quadrature du Net (France) et None Of Your Business, fondée par le juriste et activiste autrichien Maximilian Schrems. Sur Twitter, None Of Your Business a salué le verdict de la CNIL tandis que, dans un communiqué, Maximilian Schrems s'est dit "très heureux qu'une autorité européenne de protection des données utilise pour la première fois les possibilités du RGPD pour sanctionner des violations manifestes de la loi". Le "travail de protection des droits fondamentaux porte ses fruits", s'est-il réjoui. De son côté, interrogé par "Le Figaro", Google a indiqué "examiner la décision afin de déterminer les prochaines étapes". "Les utilisateurs s'attendent à des standards élevés de transparence et de contrôle de notre part. Nous sommes déterminés à répondre à ces attentes et aux exigences de consentement du RGPD", a ajouté l'entreprise qui a désormais deux mois pour former un recours devant le Conseil d'État, si elle souhaite contester cette décision.