Information

Google condamné à une amende de 50 millions d'euros par les régulateurs français pour la première application majeure du RGPD

Google condamné à une amende de 50 millions d'euros par les régulateurs français pour la première application majeure du RGPD

Lors de la première mise en application majeure du nouveau règlement général sur la protection des données (RGPD) de l'Union européenne, le géant de la recherche sur Internet Google a été condamné à une amende de 50 millions d'euros pour des infractions au règlement constatées lors d'une enquête de la Commission nationale de la protection des données (CNIL).

Première application majeure du RGPD de l'Union européenne

Depuis son entrée en vigueur l'année dernière, le RGPD a été appliqué tout au long de 2018, comme les mesures prises contre AggregateIQ Data Services Ltd, une entreprise canadienne, par le Bureau du commissaire à l'information (ICO) du Royaume-Uni.

La nouvelle amende à l'encontre de Google CNIL annoncée aujourd'hui est cependant bien plus importante que les amendes infligées aux anciens contrevenants. L'ICO, par exemple, a imposé l'amende maximale à Facebook pour son rôle dans le cadre du scandale Cambridge Analytica, qui s'élevait à 500 000 livres sterling.

Cette nouvelle amende de la CNIL représente près de 100 fois ce montant et marque le début d'une nouvelle ère dans la collecte des données et le respect de la protection.

Google pris du mauvais côté du RGPD

La mesure coercitive découle de deux plaintes déposées par None of Your Business (NOYB) et La Quadrature du Net (LQDN) les 25 et 28 mai 2018. Ces organisations ont accusé Google de ne pas disposer de la base légale pour collecter et traiter les données des utilisateurs. en relation avec leur système de personnalisation des annonces.

La CNIL a commencé à enquêter sur les plaintes conformément au RGPD et a effectué en septembre 2018 sa propre inspection en ligne des services de Google pour vérifier la conformité de Google avec le RGPD et la loi française sur la protection des données (FDPA).

Selon la CNIL, cet examen a analysé «le profil de navigation d'un utilisateur et les documents auxquels il [pourrait] accéder, lors de la création d'un compte GOOGLE lors de la configuration… d'un équipement mobile sous Android [, le système d'exploitation mobile de Google]».

Manque d'information et de transparence

Le régulateur a constaté que les informations que Google est requise par le GDPR et le FDPA pour fournir à l'utilisateur sont opaques et difficiles à trouver par un utilisateur. Les informations sur la manière dont les données d'un utilisateur vont être traitées, stockées et utilisées ont été réparties sur plusieurs documents différents qui nécessitaient de cliquer sur plusieurs boutons et liens pour trouver, jusqu'à 6 selon l'examen du régulateur.

De plus, les informations fournies par la société n'étaient pas suffisantes pour informer pleinement les utilisateurs de l'étendue des procédures de collecte et de traitement des données de Google, qui sont étendues, car elles sont réparties sur plus d'une douzaine de services de Gmail à YouTube.

La CNIL a cité Google pour ne pas avoir clairement expliqué aux utilisateurs que la base juridique de la collecte et du traitement de leurs données repose sur le consentement de l'utilisateur et non sur les objectifs commerciaux légitimes de l'entreprise. Google n'a pas non plus fourni la période de conservation de certaines données utilisateur comme l'exigent le RGPD et le FDPA, selon les régulateurs.

Absence de consentement de l'utilisateur requis

Tout cela a conduit les régulateurs à rejeter l'affirmation de l'entreprise selon laquelle ils avaient obtenu le consentement de l'utilisateur pour leurs services de personnalisation des annonces. Premièrement, les utilisateurs ne reçoivent pas suffisamment d'informations, selon la CNIL, pour donner à l'entreprise un consentement éclairé à l'utilisation de leurs données.

Deuxièmement, le contrôle des données de personnalisation des annonces est fourni à l'utilisateur, mais il est plus ou moins caché sous une page "plus d'options" lors de la création d'un compte sur lequel la plupart des utilisateurs ne penseront même pas à cliquer. De plus, l'option de personnalisation des annonces est une sélection de désactivation, ce qui signifie que les utilisateurs sont traités par défaut via la personnalisation des annonces, en violation de l'exigence du RGPD selon laquelle tout consentement doit être sans ambiguïté et un choix affirmatif de l'utilisateur.

Enfin, ils citent Google pour se fier aux sélections d'acceptation des conditions générales d'utilisation et à un accord sur le traitement des informations utilisateur indiqué dans la politique de confidentialité de l'entreprise. Ceci, souligne la CNIL, signifie que l'utilisateur ne donne pas de consentement spécifique pour les différentes utilisations de ses données comme l'exige le RGPD.

Implications pour la conformité

Cette application a déjà envoyé des ondes de choc sur Internet car elle a des implications massives pour les entreprises qui se fient aux accords de conditions de service pour toutes sortes de collecte de données. À la lumière de cette action, les entreprises devront peut-être réécrire entièrement les accords d'utilisation sur lesquels elles s'appuient depuis des décennies.

À 25 millions d'euros par plainte, si cette amende de Google est un précédent, elle est trop coûteuse pour les entreprises à déduire simplement du coût de l'activité commerciale, nous devons donc nous attendre à de grands changements dans la façon dont les entreprises abordent ces problèmes à l'avenir.


Voir la vidéo: Comprendre le RGPD en cinq questions (Novembre 2021).