Par une décision du 21 janvier 2019, la CNIL a prononcé sa première grosse sanction sur le fondement d’une violation du RGPD.
Sur saisine de deux associations – None Of Your Business (« NOYB ») et La Quadrature du Net (« LQDN ») – la CNIL était invitée à se prononcer sur l’existence d’une base juridique valable permettant à GOOGLE de traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.
La formation restreinte retient deux manquements :
Un manquement aux obligations de transparence et d’information
La CNIL relève que les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs et nécessitent de suivre un parcours en plusieurs étapes pour atteindre les éléments pertinents. En outre, les informations données ne sont pas claires et compréhensibles. Enfin, la durée de conservation des données n’est pas indiquée.
Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité
Le consentement des utilisateurs à l’utilisation commerciale de leurs données personnelles n’est pas valablement recueilli pour deux raisons : il n’est pas suffisamment éclairé et n’est pas « spécifique » et « univoque », les autorisations de traitement étant pré-cochées par défaut ce qui implique une absence d’acte positif par l’utilisateur (qui cocherait volontairement la case par exemple).
En raison de la place du système Android sur le marché français et du caractère continu du manquement, qui perdure, la CNIL a décidé de condamner la société Google à une amende de 50 millions d’euros rendue publique.
Cette décision est un message fort adressée par la CNIL à l’intention des sociétés qui pensaient pouvoir encore temporiser.
En cas de doute, n’hésitez pas à contacter votre avocat qui pourra vous proposer d’auditer votre politique de collecte et de traitement des données personnelles pour vérifier sa conformité au RGPD.