le 24/01/2019

La CNIL prononce une sanction record pour Google LLC

Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l'encontre de la société GOOGLE LLC

Dans une décision rendue le 15 janvier et publiée le 21, la CNIL a prononcé une amende record de 50 millions d’euros contre Google LLC sur le fondement du RGPD.

Il s’agit de la première sanction sur un tel fondement.

La formation restreinte de la CNIL a relevé deux séries de manquements au RGPD.

Dans un premier temps, la formation a estimé qu’il y avait une violation continue des obligations de transparence et d’information (article 12 du RGPD) lors de la collecte des données personnelles (article 13 et 14 du RGPD) et que les droits des personnes n’était pas assez clair (article 15 à 22 du RGPD).

En effet, la formation relève que des informations essentielles (finalité, durée de conservation ou catégories de données) étaient anormalement disséminées dans de multiples espaces où il était nécessaire d’activer des boutons ou onglets pour prendre connaissance des informations complémentaires. De plus, la CNIL a remarqué que les informations fournies n’étaient pas suffisamment claires ou compréhensibles par rapport aux aspects massifs et intrusifs des différents traitements réalisés par l’entreprise et que les finalités étaient trop génériques et vagues.

Dans un second temps, la formation restreinte de la CNIL est venue sanctionner l’absence de base légale pour les traitements de personnalisation de la publicité. La société américaine indiquait se fonder sur le contentement des utilisateurs, or les agents de la Commission ont estimé que celui-ci n’était pas éclairé, spécifié et univoque. En effet, dans le prolongement de ce qui a été exposé précédemment, les informations permettant de justifier du consentement ont été réparties sur plusieurs espaces et documents en plus de présenter des cases précochées au moment de la collecte.

Enfin, cette décision est intéressante en ce que la sanction administrative a été prononcée sans mise en demeure préalable du responsable de traitement. Ce changement dans les pratiques de la CNIL semble indiquer des choix plus répressifs avec moins d’accompagnement des différents acteurs de la donnée.