Amende de la CNIL contre Google : les 50 premiers millions de bénéfice du RGPD

La sanction prononcée lundi 21 janvier 2019 par la CNIL contre GOOGLE constitue la première étape dans l’application du Règlement général sur la protection des données (RGPD), et elle est particulièrement notable à plusieurs titres.

Cette sanction fait suite à deux plaintes collectives déposées, immédiatement après l’entrée en vigueur du RGPD le 25 mai 2018, par les associations None of your Business et La Quadrature du Net (cette dernière mandatée par près de 10.000 personnes).

La CNIL a procédé en septembre 2018 à un contrôle en ligne afin de vérifier la conformité à la loi informatique et libertés et au RGPD des traitements de données personnelles réalisés par GOOGLE. Pour cela, elle a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès en créant un compte Google lors de la configuration de son équipement mobile sous Android.

Sur la base de ses investigations, la CNIL a constaté de nombreux manquements au RGPD concernant les obligations de transparence, d’information, de recueil de consentement et de base légale pour la personnalisation de la publicité.

La CNIL a ainsi condamné GOOGLE à une amende de 50 millions d’euros, ce qui constitue un montant record tout en restant très loin du nouveau plafond d’amende instauré par le RGPD, fixé à 4% du chiffre d’affaires mondial (plus de 100 milliards en l’espèce, soit un plafond de plus de 4 milliards pour Google).

Il ne peut faire de doute que malgré les mesures de paramétrage mises en œuvre par GOOGLE, il est absolument impossible pour les utilisateurs de garder la maitrise de leurs données. Or, compte tenu de la place prépondérante d’Android dans une société où l’économie repose massivement sur la donnée et notamment la publicité ciblée, il est compréhensible que les pratiques de Google soient largement sanctionnées.

La sanction vient de l’autorité de contrôle française qui a pu se saisir de plaintes collectives en raison de l’absence par Google de déclaration d’une autorité chef de file, et donc de la non-application du mécanisme de guichet unique. Cela veut dire que d’autres autorités de contrôle en Europe peuvent se saisir de faits similaires et sanctionner Google comme l’a fait la CNIL.

Plus généralement, cette action contre Google n’est que la première d’une longue série contre l’ensemble des sociétés intervenant dans l’économie du big data, qu’ils s’agissent des GAFA/NATU comme de toutes les autres sociétés.

De nombreuses plaintes collectives ont été déposées contre Amazon, Facebook, Apple Music, Netflix, Sound Cloud, Spotify ou Youtube. Il s’agit de faire prévaloir un principe essentiel dans la lutte pour les libertés individuelles fondamentales : celui de la vie privée. Dans un monde d’échange de data, où les utilisateurs eux-mêmes sont les principaux pourvoyeurs de données à travers les navigateurs, réseaux sociaux et plateforme en tout genre, il est fondamental de se battre pour le retour de la confiance.

Imaginons que nous puissions un jour dire : "Je veux bien me connecter à tes services et te donner des informations sur moi à condition j’ai (vraiment) confiance dans l’usage (limité) qui en sera fait, pour quel service (limitatif), pendant quelle durée (précise) et si je peux assurer un contrôle (simple et efficace) sur mes données et reprendre (réellement) mon consentement."

Cela semble une douce utopie, et c’est tout l’enjeu d’un combat juridique et technique qui prendra des années. Puisque personne ne souhaite que les dystopies de Black Mirror deviennent notre quotidien, l’avenir du big data et de ses algorithmes doit passer par la restauration de la confiance.