Sur la base des investigations menées à la suite de plaintes collectives de deux associations qui reprochaient à la société Google de ne pas disposer dune base juridique valable pour traiter les données personnelles des utilisateurs de ses services, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a constaté deux séries de manquements au règlement général sur la protection des données (RGPD).
1) Un manquement aux obligations de transparence et dinformation
La Cnil relève tout d’abord que les informations fournies par le moteur de recherche ne sont pas aisément accessibles aux utilisateurs : larchitecture générale de linformation fait que certaines informations essentielles ne sont accessibles quaprès plusieurs étapes, impliquant parfois jusquà cinq ou six actions. En outre, les informations délivrées ne sont pas toujours claires et compréhensibles.
Ainsi, les utilisateurs ne sont pas en mesure de comprendre lampleur des traitements mis en place par Google, lesquels sont particulièrement massifs et intrusifs, dont les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.
De même, linformation délivrée nest pas suffisamment claire pour que lutilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non lintérêt légitime de la société Google.
Enfin, la formation restreinte relève que la durée de conservation de certaines données nest pas indiquée.
2) Un manquement à lobligation de disposer dune base légale pour les traitements de personnalisation de la publicité
La société Google affirme sappuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or, la formation restreinte estime que le consentement nest pas valablement recueilli pour deux raisons.
Premièrement, le consentement des utilisateurs nest pas suffisamment éclairé : linformation sur ces traitements, diluée dans plusieurs documents ne permet pas à lutilisateur de prendre conscience de leur ampleur.
Deuxièmement, la formation restreinte constate que le consentement recueilli nest pas « spécifique » et « univoque ».
En effet, lors de la création dun compte, si lutilisateur a la possibilité de modifier certains des paramètres, comme les modalités daffichage des annonces personnalisées, il doit faire la démarche de cliquer sur « plus doptions » pour accéder au paramétrage et laffichage dannonces personnalisées est pré-coché par défaut. Or, le consentement nest « univoque », comme lexige le RGPD, quà la condition que lutilisateur effectue un acte positif (cocher une case non pré-cochée par exemple).
Par ailleurs, pour pouvoir créer son compte, l’utilisateur est conduit à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord. Or, le consentement nest « spécifique », comme lexige le RGPD, quà la condition quil soit donné de manière distincte pour chaque finalité.
En conséquence, la formation restreinte condamne la société Google à une amende de 50 millions deuros, rendue publique.