Google sanctionnée par la CNIL au paiement d’une amende de 50 millions d’euros en application du RGPD.

Par une délibération en date du 21 janvier 2019, la commission restreinte de la CNIL (commission nationale de l’informatique et des libertés) a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google LLC en application du RGPD.

La CNIL a reçu des plaintes collectives de l’association None Of Your Business (NOYB) et de l’association La Quadrature du Net (LQDN) les 25 et 28 mai 2018 qui reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services notamment à des fins de personnalisation de la publicité.

La CNIL a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android et en a conclu que Google devait être sanctionné pour manquement aux obligations de transparence, d’information et absence de consentement valable pour la personnalisation de publicité.

1. Sur le manquement aux obligations de transparence et d’information

Application du critère d’accessibilité de l’utilisateur aux données

Sur la base de ses investigations, la CNIL constate que l’ergonomie choisie par le responsable de traitement ne permet pas de satisfaire au critère d’accessibilité de l’utilisateur aux données.

A ce titre, la CNIL relève que ces informations sont excessivement disséminées dans plusieurs documents comportant des boutons et des liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires de sorte que l’information pertinente n’est accessible qu’après de multiples étapes.

L’exigence du caractère claire et compréhensible des informations délivrées

La CNIL précise que le caractère clair et compréhensible des informations délivrées doit s’apprécier “en tenant compte de la nature de chaque traitement en cause et son impact concret sur les personnes concernées.”

Partant, la CNIL considère que les traitements de données mis en œuvre par le responsable de traitement sont particulièrement massifs et intrusifs et les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements ni même leurs conséquences. De surcroît, la formation restreinte relève que les finalités sont décrites de façon trop vague et générique tout comme les données traitées.

2. Sur l’absence de consentement valable

L’exigence du caractère éclairé du consentement

La CNIL considère que le consentement des utilisateurs pour les traitements de personnalisation de la publicité n’est pas éclairé dans la mesure où les informations sont excessivement disséminées dans des documents distincts ce qui ne leur permet pas de prendre conscience de l’ampleur du traitement.

L’exigence du caractère spécifique et univoque du consentement

La CNIL affirme d’une part , que le consentement recueilli n’est pas univoque car l’utilisateur doit faire la démarche de cliquer sur “plus d’options” pour modifier les paramètres de son compte et l’affichage des annonces personnalisées est pré-coché par défaut or le caractère univoque du consentement suppose un acte positif et d’autre part, la CNIL considère que le consentement n’est pas spécifique puisque afin de créer son compte l’utilisateur doit consentir en bloc aux finalités poursuivies par la CNIL. Or, le consentement n’est spécifique que s’il est donné de manière distincte pour chaque finalité.

Partant, la CNIL a sanctionné Google au paiement d’une amende de 50 millions d’euros rendue publique pour manquement aux principes essentiels du RGPD que sont la transparence, l’information et le consentement.

3. En pratique

Il est conseillé aux responsables de traitement de :

– Fournir une information claire et non disséminée ;

– Obtenir un consentement des utilisateurs pour chaque traitement effectué sous forme d’un acte positif.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».