Genève / Rue Agasse 45 / 1208 Genève / Tél.+4122 839 81 50 Nyon / Grand-Rue 15 / 1260 Nyon / Tél.+4122 361 85 81

La CNIL impose une amende de 50 millions d’euros à Google LLC en application du règlement européen sur la protection des données (RGPD)

janvier 23, 2019

Le nouveau RGPD, dont l’application dans les états membres de l’UE est obligatoire depuis le 28 mai 2018, a introduit un mécanisme efficace permettant le « one stop shop », au lieu de l’établissement principal, sans qu’il soit nécessaire de s’adresser à différentes autorités de contrôle nationale. En l’occurrence, c’est la CNIL française qui a procédé à l’investigation et la condamnation.

La décision est un cas d’application rapide de la mise en œuvre de quelques principes absolument fondamentaux de la protection des données concrétisés dans le RGPD : transparence, information et consentement. Le montant de l’amende est à la hauteur de l’importance des violations au vu du nombre d’internautes concernés, du fait qu’elles ont été continués et qu’elles perdurent aujourd’hui.

 

Violation de l’obligation de transparence et d’information

Les informations essentielles concernant le traitement des données personnelles par Google sont disséminées dans différents documents nécessitant de nombreuses manipulations et clics pour en avoir une connaissance suffisante. La personne concernée n’a dès lors pas une connaissance suffisante des buts du traitement, de la durée du stockage de l’information et de la catégorie de données personnelles utilisées dans la personnalisation des publicités en ligne. Cela est d’autant plus grave que, s’agissant de Google, le volume des traitements est particulièrement massif et intrusif au vu des quelques 20 services offerts à l’internaute.

Absence de base légale pour le traitement de la publicité personnalisée

A défaut d’autre base légale, c’est le consentement de l’internaute qui devait justifier ce type de traitement. Or, le RGPD contient des obligations strictes concernant la qualité de ce consentement. Il faut notamment qu’il soit spécifique et sans ambiguïté, c’est-à-dire qu’il doit être donné activement et clairement pour chaque traitement envisagé, l’internaute ayant eu la possibilité de parfaitement le comprendre. Le fait que, lors de l’ouverture d’un compte Google, l’internaute dispose de différentes options de confidentialité n’a pas été considéré comme suffisant, notamment dans la mesure où, à l’ouverture de cette page d’options, les cases d’autorisation étaient déjà automatiquement remplies, l’internaute ayant lui l’obligation de les enlever. Par ailleurs, la clause générale par laquelle l’internaute donnait à Google l’autorisation de traiter ses données conformément à la description des services ne remplissait pas les conditions de validité du consentement.

La décision complète

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1

 

Proposition de citation : Gérald Page, La CNIL impose une amende de 50 millions d’euros à Google LLC en application du règlement européen sur la protection des données (RGPD), in: www.e-avocats.ch/news

 

Classés dans :