La Cnil inflige à Google une sanction de 50 millions d'euros pour ne pas avoir respecté le RGPD

Mickaël Bazoge |

La Cnil a bien l’intention de faire appliquer le règlement européen sur la protection des données (RGPD), entré en vigueur en mai dernier. Et cela passe par une sanction exemplaire contre Google : la Commission informatique et libertés a infligé une sanction de 50 millions d’euros à l’encontre du moteur de recherche. C’est l’amende la plus élevée jamais décidée par le régulateur français des données, autant dire que les griefs sont d’importance.

« Manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité » : voici ce qui a motivé la Cnil à sanctionner Google, suite au dépôt de plaintes de la Quadrature du Net et de l’association noyb peu de temps après la mise en route du RGPD. Pour mener son enquête, réalisée en septembre dernier, la Cnil a analysé le parcours d’un utilisateur en créant un compte Google lors de la configuration d’un appareil Android.

Le premier reproche détaillé par la Commission est la difficulté d’accéder aux informations collectées par Google : « des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents ».

Autrement dit : il faut fouiller dans les réglages pour y retrouver ses petits, notamment dans le cas où un utilisateur veut tout savoir de la collecte des informations de personnalisation des publicités, illustre la Cnil (tout cela peut être géré dans le portail Mon compte de Google).

« Les informations délivrées ne sont pas toujours claires et compréhensibles », assène la Commission. Difficile pour les utilisateurs d’appréhender « l’ampleur des traitements mis en place par Google ». Or, ces derniers sont « massifs et intrusifs » (le moteur de recherche gère une vingtaine de services) et les finalités de l’exploitation commerciale des données sont décrites de façon « trop générique et vague ». La Cnil déplore l’absence de mention de la durée de conservation de certaines données.

Le consentement est un autre problème : d’une part, il est impossible de prendre connaissance de la pluralité des services, sites et applications qui bénéficient du traitement des données. D’autre part, le consentement n’est pas « spécifique et univoque », écrit le régulateur. Il faut en effet cliquer sur le bouton « plus d’options » pour par exemple paramétrer plus finement les modalités d’affichage des publicités personnalisées. De plus, les cases sont pré-cochées et lors de la création d’un compte, l’utilisateur est amené à tout accepter d’un bloc.

Le RGPD exige un consentement « explicite » de l’utilisateur : manifestement, ce n’est pas le cas alors que Google a une grande responsabilité ; son système d’exploitation occupe en effet une place prépondérante en France.

Pour la première fois, la Cnil s’appuie donc sur les nouveaux plafonds de sanctions prévus par le RGPD. Le montant de l’amende ne représente peut-être qu’une toute petite fraction des quelque 110 milliards de dollars de chiffre d’affaires de l’entreprise, mais c’est un coup de semonce qui va certainement pousser d’autres entreprises à respecter la lettre et l’esprit du règlement européen (lire : Apple accusée de ne pas respecter le règlement européen sur la protection des données).

Google a désormais quatre mois pour déposer un recours devant le Conseil d’État. Selon Le Figaro, le moteur de recherche va désormais examiner la décision afin de déterminer les prochaines étapes. Du côté de la Quadrature du Net, un des plaignants dans ce dossier, cette sanction de 50 millions d’euros ne représente qu’une « une toute première partie de la réponse à notre plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur YouTube, Gmail et Google Search en violation de notre consentement ».

L’association attend désormais de la Cnil qu’elle s’intéresse au reste de la plainte, et qu’elle impose une amende « d’un montant proportionné à cette entreprise ainsi qu’à l’ampleur et à la durée de la violation de nos droits ». En sachant que la sanction maximale est de 4% des revenus mondiaux, l’amende totale devrait avoisiner les 4 milliards d’euros.


Tags
avatar afficiomacos | 

Et ce n’est qu’un début ! Facebook c’est pour quand?

avatar mpqr | 

Et après ?

avatar zspy59 | 

Ce n’est pas une amande qu’il faut infliger à Google, mais un bannissement du réseau français pour une durée limitée.
Cela lui fera bien plus de mal qu’une petite amende !

avatar vince29 | 
avatar pat3 | 

@vince29

Je pense que ça va suivre. Les dépôts de plainte le jour de mise en œuvre de la RGPD de la Quadrature du Net et d’autres porte sur toutes les GAFAM, c’est juste la première qui aboutit.

avatar carabat | 

@ zspy59

Un tel bannissement, même temporaire, pénaliserait beaucoup plus les utilisateurs français que Google elle-même, ce n'est pas une bonne solution. Il faudrait frapper Google au portefeuille en infligeant des amendes nettement plus élevées (50 millions, ce n'est vraiment pas grand chose pour Google). .

avatar zspy59 | 

@carabat

Pour ma part, je ne suis pas dépendant de Google, je n’utilise plus le moteur depuis bientôt 2 ans et je n’ai jamais utilisé ses services.
Sauf YouTube !

Donc, oui cela va pénaliser des utilisateurs et permettre à terme de changer des habitudes.

avatar Brice21 | 

@zspy59

Bonne idée ça. Plus de moteur de recherche Google en France... j’adore.

avatar boubloux | 

Rgpd mon c.l c’est un truc debile que personne ne va respecter.
Mais cela va surtout empêcher les petites boutique française qui n’auront pas les moyen de ses défendre.
On la mis en place dans mon magasin résultat tout le monde refuse de donner son numéro de téléphone ou son mail.
Plus de relance client ni de publicité par mail.
Tandis que mes concurrents ne se gène pas et ne la respecte pas.
Vous penser vraiment que Google va payer ou respecter ça ? Lol
Par contre mes clients achète des téléphone Xiaomi ou huawei....
Quand on parle d’intrusif mdr

avatar lmouillart | 

" On la mis en place dans mon magasin résultat tout le monde refuse de donner son numéro de téléphone ou son mail." Plutôt logique non ? Quand on achète un produit/service c'est pas pour se faire emmerder derrière. "Don't call us, we'll call you"

avatar boubloux | 

@lmouillart

Ok mais avant on envoyait des sms une fois tous les trois quatre mois avec des promos. Tu pouvais très bien répondre STOP et ne plus jamais recevoir de sms.
Maintenant on ne peut plus le faire du tt plus qu’il faut un accord avant le premier envoi.

avatar Kounkountchek | 

@boubloux

Désolé mais moi ça me gêne ce comportement: par défaut je veux pas avoir de mail, SMS, ou coup de tel. Dans le cas contraire, je fais la démarche de m'abonner ou de donner mon consentement.

avatar alexis83 (non vérifié) | 

@Kounkountchek

Je pense surtout que ce qu’il veut dire c’est que les grosses entreprises peuvent s’affranchir de ce genre de chose (ou du moins jouer au plus con) car elles ont les reins solide tandis qu’une pme peut fermer directement boutique pour le moindre écart. Je pense que c’est de ce rapport de force dont parlais l’autre commentaire.

avatar pim | 

@alexis83

Avec un amende plafonnée à 4 % du chiffre d’affaire, je pense plutôt qu’aucune entreprise n’est à l’abris, sauf celles qui font un tel bénéfice qu’elles peuvent se permettre de payer des amendes à gogo ! (on pourrait dire aussi « payer des amendes comme Google » au lieu de « payer des amendes à gogo », mais ce n’est pas encore rentré dans le langage courant !)

avatar DG33 | 

@pim

Payer ses amendes à l’Etat, surtout ?

avatar iPop | 

@Kounkountchek

Moi, ça ne me gêne pas, si on achète c’est qu’on est intéressé , donc publicité ciblé et réfléchi, pas les incessantes pubs de Tik Tok. De plus, possédez un mail dédié aux commerces .

avatar debione | 

Oui, le mien s’appelle nommément « Poubelles »... Rigolo la tête des commerciaux...

avatar CorbeilleNews | 

@boubloux

C'est ce que je souhaite aussi no pub et dès la première fois !!!

Comme ça pas besoin de payer un sms pour stopper vos pubs de ...

Merci de nous donner le nom de votre magasin pour qu'on l'évite ???

Vous voyez vous hésitez à donner le nom ? Non ? ?

Et bien pour certains d'entre nous c'est pareil on hésite désormais à donner la moindre info.

Ils en ont trop profité maintenant faut payer

avatar Bigdidou | 

@boubloux

« Tu pouvais très bien répondre STOP et ne plus jamais recevoir de sms. »

Eh bien moi, je ne veux jamais en recevoir tout court.
Et grâce au rgpd, tu n’a plus le droit de l’imposer cette pollution.
C’est une bénédiction.

avatar fte | 

@boubloux

"Tu pouvais très bien répondre STOP et ne plus jamais recevoir de sms."

Mais ça veut dire que ton numéro est dans leurs bases de données. Et que c’est un identifiant unique permettant de recouper des données de multiples provenances.

Ça fait longtemps que je ne donne plus mon numéro. Et lorsque c’est "obligatoire", je donne un faux numéro (j’ai des numéros de telemarketers pour ça, comme ça ils se causent entre collègues nuisibles). Et quand c’est un formulaire internet, hop, 0000000... jusqu’à ce que ça passe.

avatar pat3 | 

@boubloux

"Ok mais avant on envoyait des sms une fois tous les trois quatre mois avec des promos. Tu pouvais très bien répondre STOP et ne plus jamais recevoir de sms."

Quand je vois le nombre de relances non sollicitées que je reçois par jour sur mon mail (habituellement appelées spams ou junk mails), le nombre de fois où j’ai envoyé en vain des demandes de résiliation de newsletters auxquelles je ne me suis jamais abonné, tu comprends bien que si j’ai le choix de NE PAS donner mon mail ou pire, mon numéro de téléphone …

avatar boubloux | 

@pat3

Quand je dis je dis que moi je respect aujourd’hui la loi tél quel est écrite mais qu’elle ne l’est pas appliqué partout.
Je suis entièrement pour le RGPD
Mais tous les autres ne le font pas et ne seront pas inquiété car il ne paieront pas les amendes.
La loi a été créer pour contrer les GAFA mais moi qui ne harcelais pas les consommateurs ni ne vendait rien à personne.
Et que les seules qui sont impacter seront les petits commerce comme d’habitude...

avatar Bigdidou | 

@boubloux

« Et que les seules qui sont impacter seront les petits commerce comme d’habitude... »

Ben cette news t’explique précisément le contraire.
Il y a un moment où il faut juste admettre la réalité du monde telle qu’on la voit.

avatar CorbeilleNews | 

@lmouillart

Bien d'accord !!!

avatar Ali Ibn Bachir Le Gros | 

@ boubloux

Rgpd mon c.l c’est un truc debile (...)

On la mis en place dans mon magasin résultat tout le monde refuse de donner son numéro de téléphone ou son mail.
Plus de relance client ni de publicité par mail.

Attends, du coup on dirait que le RGPD est drôlement efficace. Tes clients lui disent merci. ?

avatar daffyduuck | 

@boubloux

« On la mis en place dans mon magasin résultat tout le monde refuse de donner son numéro de téléphone ou son mail. »

Oui c’est sûr que si à la caisse vous dites « je peux avoir votre 06 et votre mail? C’est pour envoyer des pubs », tu auras plein de refus.

Plutôt que de victimiser ton magasin face à la vilaine concurrence, va voir chez eux comment ils récoltent les données. Ça te semble illégal? Effectue un achat chez eux, enregistre (ou mieux fais constater par huissier), et porte plainte à la cnil.

Mais tu verras probablement que tes concurrents ont appris à faire avec. Applique plutôt un « avec votre achat de 200 euros vous avez droit à un bon de 15 euros sans minimum d’achat la prochaine fois. Je vous l’envoie par mail. Vous aurez aussi des mails commerciaux, mais (sur le ton de la confidence, la « petite astuce »): « vous pouvez vous desinscrire quand vous voulez ».
Si tu vends des trucs avec une garantie ou une période de retour: « je peux vous envoyer le ticket de caisse par mail? Comme ça meme si vous perdez le papier vous pourrez le retrouver. ». Le client ne t’a toujours pas donné son consentement. Mais le mail s’appelle « votre facture - et une surprise ». Ajoute dans le mail un truc intéressant (extension de garantie, prolongation de la période de retour, bon d’achat,... ) qui nécessite une inscription sur ton site. Et peut être que le client daignera alors cocher une autorisation pour recevoir des mails ou des sms. C’est du boulot, un investissement, mais il y a eu une assez grande période avant l’application de la RGPD pour penser à ce genre de stratégie. Ce n’est pas la concurrence qu’il faut blâmer dans ton cas. Mais un manque de visibilité de la part des dirigeants de ton magasin.

Compte sur moi, si je suis client de l’un de tes concurrents, pour le signaler sur le site de la CNIL. J’ai déjà fait la démarche avec succès (mon ancien bailleur qui se cachait derrière la loi pour me demander des arriérés énormes après une erreur de leur part a eu la mauvaise idée de m’envoyer un spam dans la foulée, et pire, de mettre en copie l’un de leur partenaire dans nos échanges de mail, contenant des données personnelles. La CNIL leur est tombé dessus, assez violemment)

avatar anti2703 | 

Eh bah on l’a trouvé notre taxe sur les GAFA ! ?

avatar pfx | 

Que devient tout cet argent ?

avatar alexis83 (non vérifié) | 

@pfx

Je me demandais aussi où il allais, pour servir à financer quoi ?

avatar EBLIS | 

En fait ils vont reverser cet argent à tous les citoyens français dont les données ont été utilisées par Google. Je trouve vraiment que c'est sympa de leur part.

Sympa ce RGPD quand on voit les résultats, certains sites stipulent "vos données étant gérées par nos services aux État Unis, vous dépendez des lois de ce pays". D'autres affichent des messages pour "accepter" les conditions sans pouvoir les changer et si on refuse, on est viré du site, d'autres continuent à pomper ce qu'il faut tant qu'il n'y a pas eu validation ou refus explicite. Bref, quasi rien n'a changé. Certains navigateurs devraient intégrer des plugins ou fonctions efficaces directement.

avatar pat3 | 

@EBLIS

"Sympa ce RGPD quand on voit les résultats, certains sites stipulent "vos données étant gérées par nos services aux État Unis, vous dépendez des lois de ce pays". D'autres affichent des messages pour "accepter" les conditions sans pouvoir les changer et si on refuse, on est viré du site, d'autres continuent à pomper ce qu'il faut tant qu'il n'y a pas eu validation ou refus explicite. Bref, quasi rien n'a changé. Certains navigateurs devraient intégrer des plugins ou fonctions efficaces directement."

Tu peux aussi bouger ton cul et chercher des plug-ins pour ton navigateur favori; par exemple QookieFix pour Firefox (existe aussi pour Chrome, mais bon, Chrome…), qui restaure le réglage « Tout refuser »des sites qui utilisent QuantCast pour le consentement des internautes.

avatar EBLIS | 

Ne t'inquiètes pas pour mon cul, je le bouge quand j'en ai besoin, pas la peine d'être condescendant de la sorte. Je parlais surtout pour "papa, maman, mamie, le jeune frère, la vieille tante" qui ne savent pas comment ça se passe et qui n'y connaissent rien, ceux qui ne vont pas passer leur temps à chercher la perle rare sur github et compagnie. C'est pour ceux là que les navigateurs devraient intégrer de meilleurs protections automatiques et explicites.

avatar lulubotine | 
[modéré] Fi
avatar mk3d | 

50 millions... ouais, 200€ pour notre échelle.

avatar lulubotine | 

Désolé je suis colère
Encore un peu plus je me transforme en Pokémon évolution

avatar anonx | 

Ça devrait être 50 millions € journalier de même contre Apple ainsi que les autres...

avatar pim | 

Au final pour l’instant ça ne fait même pas 1 € par français. Quand on voit que rien qu’un nom et une adresse vérifiée se vends 15 € sur internet !

avatar fte | 

@pim

Tu soulèves le coeur du problème.

Quelle est la valeur de nos données privées pour toutes ces entreprises ? Plus ou moins que l’amende maximale ? Quel est le risque de se faire amender ?

Pour certaines entreprises, comme Google ou Facebook ou encore Tencent, pas tout à fait au hasard, ces données valent excessivement cher. Aucune chance qu’une amende de 4% soit dissuasive. Aucune.

Les mesures prises par ces entreprises ne visent aucunement à se mettre en conformité à la lettre. Elles visent uniquement à diminuer le risque de se faire gauler.

Oh, aussi, les données collectées, par toutes les entreprises, n’ont jamais été pensées pour être effacées. C’est un problème majeur, un problème technique pouvant demander des années de travail à résoudre, un redesign complet de toute l’infrastructure de données. Une amende coûte moins cher que l’audit préliminaire...

avatar Bigdidou | 

@fte

« Oh, aussi, les données collectées, par toutes les entreprises, n’ont jamais été pensées pour être effacées. C’est un problème majeur, un problème technique pouvant demander des années de travail à résoudre, un redesign complet de toute l’infrastructure de données. « 

Là tu soulèves un vrai problème auquel nous sommes confrontés.
Sans compter qu’on n’a légalement pas le droit d’effacer, et donc l’incapacité technique de le faire.
Absolument personne (parmi les gens que nous avons interrogés) n’a pour le moment de réponse univoque à ce sujet.

avatar pat3 | 

@fte

"Pour certaines entreprises, comme Google ou Facebook ou encore Tencent, pas tout à fait au hasard, ces données valent excessivement cher. Aucune chance qu’une amende de 4% soit dissuasive. Aucune."

Sauf que c’est une première amende, et si Google la verse, ça devient intéressant pour pour d’autres pays dans le monde de se doter du même arsenal juridique pour le même résultat. Une brèche ouverte, donc. Crois-moi que Google va user de tous ses arguments, légaux ou non, pour colmater la brèche.

avatar Vostorn | 

Que dire de google Analytics qui est invisible sur la plupart des sites et demande carrément des installer un plugin pour ne pas être tracé...

avatar lulubotine | 

Ce règlement est un camouflet.
Des mois avant d’être pondu par des énarques qui ne savent même pas ce qu’est une souris.
Et pour exemple on exige tes empreintes digitales pour une carte d’identité.
Et t’as pas ton mot à dire ?
L’un comme l’autre; qui a décidé ? Nous ?

avatar Bigdidou | 

@lulubotine

« Des mois avant d’être pondu par des énarques qui ne savent même pas ce qu’est une souris. « 

Allons...

avatar iG | 

Je suis pour ce RGPD, mais les dégâts sont quand même à surveiller. Je constate bon nombre de petits sites ou petites boutiques qui préfèrent s'arrêter parce qu'ils ne peuvent pas mobiliser ce que cette loi implique, avocats, légistes de tous ordres pour répondre aux demandes, etc.
Le petit site qui payait son hébergement par la pub est en péril. Et tout cela favorise les plus gros.
Une situation paradoxale pour la Quadrature du net qui veut un internet libre et impartial.

avatar pat3 | 

@iG

"Je constate bon nombre de petits sites ou petites boutiques qui préfèrent s'arrêter parce qu'ils ne peuvent pas mobiliser ce que cette loi implique, avocats, légistes de tous ordres pour répondre aux demandes, etc."

Sérieux ?

avatar Domsware | 

J’attends avec attention l’examen de la situation avec Gmail. En effet lorsque j’envoie un mail à une adresse Gmail je ne consens pas en tant qu’envoyeur à quoi que ce soit. Pourtant le mail (conteneur et contenu) est analysé par Gmail.

avatar Sgt. Pepper | 

@Domsware

???
Un énorme trou dans la RGPD:

Google DEVRAIT avoir l’obligation d’avoir le consentement aussi de l’expéditeur avant de pouvoir traiter un e-mail , message , Photo,.....

Contenu , bien dur
Mais surtout Meta Data (qui communique avec qui? Quand? Depuis quel en droit? Quel ip,..)
Car il me semble que Google ne se sert pas (encore) du contenu e-mail ??

Pub ciblée, grâce aux données privées : Un vrai Cancer qui s’est imposé par manque de défense réglementaire.

Trop tard? 50 millions c’est ridicule ...

avatar ziggyspider | 

Ils font la manche à la CNIL !?! 50 millions, c'est un pourboire vu de la caisse de Google !

avatar Darwin04 | 

Une amende ridicule qu ils ne vont de toute manière jamais payer

avatar debione | 

Absolument pas. Elle est proportionnée aux délits ( on parle pas de violer le petit dernier de la famille) et aux nombres de personne qu’elle touche. Ramené à un niveau mondial ( si tous les pays avaient la même règle) on arrive à 5-6 milliards, ce qui constituerait une amende notable...

Prendre le chiffre d’affaire mondial ou le bénéfice pour juger un truc qui ne concerne que la France, j’aimerais pas que vous soyez juge...

Pages

CONNEXION UTILISATEUR