Le Conseil d’État a validé la très lourde amende de 50 millions d’Euros que la Commission nationale de l’informatique et des libertés (CNIL) avait infligée à Google début 2019.
Google avait tenté par tous les moyens de faire tomber cette amende. Le géant américain avait d’ailleurs fait appel à la décision de la CNIL, qui reproche au moteur de recherche de ne pas informer suffisamment ses utilisateurs, peut-on lire sur numerama. La décision est pourtant sans appel: la Conseil d’État a rejeté tous les arguments avancés par Google, qui devra passer à la caisse. Cette amende est la première à faire un usage réel du pouvoir de sanction prévu par le Règlement européen sur la protection des données personnelles (RGPD). Jamais une amende aussi lourde n’avait auparavant été infligée.
En janvier 2019, la CNIL avait établi que Google faisait l’impasse sur des principes-clés du droit européen relatif aux données personnelles. Trois infractions ont été constatées dans le cadre de ce dossier. L’entreprise, entre autres, n’informe pas correctement les utilisateurs de son système Android de l’usage qui est fait de leurs données, l’information n’étant pas ‘toujours claire et compréhensible’.
La Commission déplore que des ‘informations essentielles soient excessivement disséminées dans plusieurs documents’, l’internaute étant contraint de cliquer sur plusieurs boutons et liens avant de tomber sur les informations demandées.
Se rajoute à ces arguments une absence de consentement valable pour la personnalisation de la publicité, qui n’est pas ‘suffisamment éclairé’, que certaines cases d’approbation sont cochées par défaut et que l’utilisateur n’a d’autre choix que d’accepter les conditions d’utilisations en bloc, à défaut de pouvoir les examiner point par point. Google avait alors tenté de se défendre arguant que les utilisateurs Android étaient correctement informés sur la manière dont étaient utilisées leurs données mais en vain.
Google peut être jugé en dehors de l’Irlande
D’après la CNIL, ces fautes sont graves et l’amende infligée est proportionnelle à l’ampleur des différents manquements. Ces erreurs portent sur des ‘principes essentiels’ du RGPD, car elles ‘privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée’, alors que ‘l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données’, déclare la Commission. L’autorité a également souligné que cette amende ne s’inscrit pas dans le cadre d’un manquement ponctuel mais bien dans le cadre de ‘violations continues’.
Ce 19 juin, la plus haute instance de l’ordre administratif français s’est prononcée sur l’appel de Google, qu’elle a rejeté, faisant valoir que la requête de la CNIL état juste, et le montant proportionnel. Le Conseil d’État a aussi jugé l’action de la CNIL légale. Pour rappel, Google considérait que la seule autorité compétente était celle basée en Irlande (où se situe le siège européen de Google), car le RGPD attribue le contrôle des données au territoire sur lequel l’entreprise en question se localise. Or, le Conseil d’État a fait savoir que la filiale irlandaise de Google n’avait ni le monopole sur les autres filiales européennes ni le pouvoir décisionnel sur le traitement des données.
L’amende infligée par la CNIL contre Google est la plus importante prononcée en Europe sur la base du RGPD. La sanction représente 0,05 % du chiffre d’affaires de l’entreprise et environ 1 % de l’amende maximale que permet le RGPD.