Amende record infligée par la Cnil à Google : le RGPD entre dans le vif du sujet

#11
Les Croissants
Google Vs Cnil
Corentin : C’est une décision historique qui est tombée ce 21 janvier 2018 : la CNIL a infligé la sanction record de 50 millions d’euros à Google pour de graves manquements au RGPD, le fameux règlement général sur la protection des données adopté le 25 mai dernier. Que signifie cette sanction ? Google n’est-il que le premier des géants du web à se voir sanctionner ? D’autres sites internet ont-il à craindre le courroux de la CNIL ? Nous faisons le point avec Elodie Carcolse de la Réclame.
Elodie : Salut Corentin et bonjour à tous ! En effet, c’est une amende record que la CNIL vient d’infliger à Google. Un record historique sur plusieurs aspects : le premier étant qu’il s’agit de la première sanction de la CNIL au titre du RGPD. Et historique également par son montant : pour rappel, le pouvoir de sanction de la CNIL plafonnait jusqu’ici à 150 000 euros, soit une tape sur le poignet pour le géant du web et ses milliards de dollars de chiffre d’affaires.
Corentin : en effet, pas de quoi l’inquiéter jusqu’à présent. 50 millions d’euros... c’est une somme. Comment la CNIL en est-elle arrivée à sanctionner Google d’une telle amende ?
Elodie : oui, alors cette décision ne s’est pas prise du jour au lendemain, vous vous en doutez. Elle résulte des plaintes collectives de deux associations de défense des droits des internautes, la Quadrature du Net, mandatée par 12 000 signataires /dont vous avez certainement déjà entendu parler, et None of your business, fondée par le militant autrichien Max Schrems.
Corentin : Pour ceux qui ne le connaissent pas, Max Schrems est un avocat de 30 ans qui s’attaque à Facebook depuis de nombreuses années concernant la protection des données des utilisateurs de la plateforme.
Elodie : C’est bien lui. Le militant est un homme pressé puisqu’avec la Quadrature, il a déposé sa plainte le jour même de l’entrée en application du RPGD, le 25 mai 2018.
Corentin : C’est ce qui s’appelle avoir le sens du timing !
Elodie : Pas mieux. Pour en revenir à l’enquête de la CNIL, celle-ci s’est mise à la place de n’importe quel utilisateur qui voudrait créer un compte Google à partir d’un smartphone roulant sous Android. C’est à dire, le système d’exploitation mobile du géant américain qui équipe une grande partie des smartphones dans le monde.
Corentin : Presque 90% de parts de marché, il me semble, suivi par l’iOS d’Apple (12,1% second trimestre 2017) puis les autres, dont Microsoft, qui se partagent les miettes. https://www.servicesmobiles.fr/86-de-part-de-marche-pour-android-en-dix-ans-41000/
Elodie: Exactement. Le parcours de la CNIL sur l’OS de Google semble avoir été semé d’embuches puisqu’elle relève de graves manquements au RGPD, je cite “manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.”.
Pour rappel à nos auditeurs, ce nouveau règlement est censé permettre aux citoyens européens de conserver la maîtrise de leurs données personnelles, notamment face aux géants du numérique, qui les utilisent à des fins commerciales.
Corentin : fin commerciales que vous pouvez visualiser sous forme de publicités ciblées par exemple.
Elodie : Par exemple. Ici, la CNIL dénonce donc un manque de transparence et déplore dans sa décision, je cite, que “Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires.” Pfff, rien que l’explication est longue !
Corentin : c’est vrai que les conditions d’utilisation que nous signons s’appliquent à une galaxie d’applications qui appartiennent toutes à Google, comme YouTube, le Playstore, Google Maps, Google Search ou encore Google Photos.
Elodie : c’est ça, et selon la CNIL, les utilisateurs de Google ne sont donc pas, je cite, “en mesure de comprendre l’ampleur des traitements mis en place par Google. Or, ces traitements sont particulièrement massifs et intrusifs”. Fin de citation. Ce n’est pas le seul grief de la CNIL, elle reproche également à Google de forcer le consentement des utilisateurs.
https://www.youtube.com/watch?v=vAdMjHoER3w 0’27 à 0’38.
Elodie : Ok, cet extrait du film les 3 frères grossit le trait… et encore ! Puisqu’en signant les conditions d’utilisation, obligatoire pour la création d’un compte Google, il approuve par défaut les finalités poursuivies par Google dans le cadre du traitement de ses données, comme la personnalisation de la publicité. Le RGPD exige que ce consentement soit “explicite”.
Corentin : Mais alors cette sanction, victoire ou non ?
Elodie : Les deux mon capitaine ! C’est une victoire en demi teinte pour les plaignants. Si Max Schrems se dit « très heureux qu’une autorité européenne de protection des données utilise pour la première fois les possibilités du RGPD pour sanctionner des violations manifestes de la loi », la Quadrature du Net est quant à elle déçue : le RGPD permet en effet d’infliger une amende pouvant aller jusqu’à 4% du chiffre d’affaires de l’entreprise sanctionnée. Celui de Google s’élevait à 97 milliards d’euros en 2017, je vous laisse faire le calcul…
Corentin : (si tu veux la réponse : 0,05% de ses revenus annuels) Pourquoi la CNIL s’est-elle contentée de si peu, si je puis dire…
Elodie : Alors, ce sont différents critères qui ont motivé sa décision et joué sur le montant de la plainte. Comme la gravité des manquements constatés, et leurs caractères “continus”, la “place prépondérante qu’occupe le système d’exploitation Android sur le marché français”, selon les mots de la CNIL, le nombre d’utilisateurs concernés par les violations jugées, ainsi que le modèle économique de la société.
Corentin : donc si je comprends bien, les petites PME du net n’ont pas à craindre d’amende aussi salée…
Elodie : Les affaires se jugent au cas par cas, le montant est proportionnel à l’infraction et à la taille de l’entreprise. Avec le RGPD, les nouveaux plafond sont élevés : 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial dans le cas d’une entreprise. Il faut également noter que certaines petites entreprises n’ont pas les moyens ou l’infrastructure nécessaires pour mettre en place la nouvelle réglementation. Elles ne devraient pas être aussi lourdement sanctionnées que le colosse californien.
Corentin : Et justement, Google dans tout ça ?
Elodie : Google va bien, merci ! Plus sérieusement, la firme a d’ores et déjà annoncé faire appel devant le Conseil d’Etat, mais n’a elle rien dit de plus que le discours habituel et bien rodé. Je cite : “Les utilisateurs s’attendent à des standards élevés de transparence et de contrôle de notre part.” “Nous sommes déterminés à répondre à ces attentes et aux exigences de consentement du RGPD.”
Enfin, l’amende est certes élevée mais elle est encore faible pour la firme. Si la sanction reste en l’état, Google et ses copains de l’industrie ne vont pas beaucoup trembler. En revanche,
si les CNILs européennes font une sanction commune, ça ne sera pas la même limonade !
Corentin : Surtout que tant que le modèle économique de ces géants du web reposent sur la revente des données utilisateurs, ce type de sanction ne restera pas longtemps historique. Merci Elodie et à la prochaine !