Sur son site internet la CNIL indique que c’est la première fois qu’elle fait application des nouveaux plafonds de sanctions prévus par le RGPD. Elle vient ainsi de de condamner GOOGLE à une amende de 50 millions d’euros. Malgré tout ce qu’on peut lire sur le sujet, on est très loin d’un record !
Pour la CNIL : « Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements constatés qui concernent des principes essentiels du RGPD : la transparence, l’information et le consentement ».
Voici ce qui est reproché à Google
La CNIL indique que malgré les mesures mises en œuvre par GOOGLE (documentation et outils de paramétrage), les manquements constatés privent les utilisateurs de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée, car reposant sur un volume considérable de données, une grande variété de services et des possibilités de combinaison de données quasi-illimitées.
- Cases pré-cochés
Sur le principe, un système de cases à cocher assorties, par exemple, de la mention « j’accepte les conditions générales d’utilisation», est admis pour recueillir le consentement de la personne concernée. En revanche, les cases pré-cochés ne sont pas admises par la CNIL dans la mesure où la personne concernée reste passive. Or, l’affichage d’annonces personnalisées est pré-coché par défaut.
- Consentir en bloc
Avant de créer son compte, l’utilisateur est invité à cocher les cases «j’accepte les conditions d’utilisation de Google» et «j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité» pour pouvoir créer son compte. Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par GOOGLE sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.). Or, selon le RGPD, le consentement n’est «spécifique» qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.
- Cliquer sur «plus d’options»
Pour la CNIL, le consentement des utilisateurs n’est pas suffisamment éclairé. L’utilisateur doit faire la démarche de cliquer sur «plus d’options» pour accéder au paramétrage. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.
Le montant de l’amende est finalement assez dérisoire !
Le RGPD prévoit des sanctions beaucoup plus dissuasives ! (art 83 RGPD)
- Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA, etc.
- Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).
Dans chacun des cas, le montant le plus élevé est celui pris en compte. Or, le chiffre d’affaires de Google s’élève à plus de 110 milliards de dollars. Si on considère 4% du CA mondial de l’entreprise, « l’amende record » s’établirait donc à 4,4 milliards.
Cette amende est la plus forte donnée par la CNIL mais on reste d’ailleurs très loin des amendes infligées par les administrations américaines. En novembre 2018, la Société Générale avait écopée d’une amende de 1,34 milliard de dollars (soit 1,17 milliard d’euros) pour avoir violé différents embargos économiques. En 2014, BNP Paribas avait quant à elle payé une amende (vraiment record) de 9 milliards de dollars. Ce parallèle en matière de sanction est assez douloureux car il montre notre impuissance économique, technologique et politique.
Une sanction pour faire peur !
Finalement, il semble que la CNIL ait voulu faire un exemple raisonnable. Google est le méchant idéal et donne une opportunité à la CNIL de montrer ses crocs. Pourtant si l’atteinte était aussi grave que le dit la CNIL il aurait fallu une sanction beaucoup plus forte. Le vrai problème c’est qu’il faudrait aussi sanctionner beaucoup d’entreprises à commencer par les entreprises françaises et Européennes qui ont énormément de difficultés pour mettre en œuvre le RGPD (seulement 7 % des entreprises se déclareraient conformes au RGPD).
Cette décision appelle finalement deux questions que de nombreuses entreprises se posent et que la CNIL ne règle pas :
- Comment collecter le consentement sans faire fuir les internautes ?
- Comment garder le consentement à jour sur des applications mobiles avec des annonceurs qui changent régulièrement ?
Cette sanction qui n’apporte aucune réponse illustre parfaitement les récents atermoiements d’un continent européen qui n’arrive pas à s’entendre. Nous n’agissons qu’à la marge et nous n’avons pas l’unité politique nécessaire pour établir une stratégie numérique réellement offensive. Pendant ce temps, les entreprises européennes souvent frileuses face à la transformation numérique continuent d’accumuler du retard face aux entreprises Chinoises et US (qui elles peuvent se permettre de se poser moins de questions).