Nous suivre Industrie Techno

RGPD : Google, une sanction sans précédent

RGPD : Google, une sanction sans précédent

© GuillermoJM - flickr

La veille du Forum international de la cybersécurité (FIC) qui se déroule les 22 et 23 janvier à Lille, la CNIL a annoncé une sanction record à l’encontre de Google LLC en application du règlement général pour la protection des données (RGPD). Le géant de la tech devra s’acquitter de 50 millions d’euros pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ».

La CNIL vient de sanctionner Google à hauteur de 50 millions d’euros pour non conformité au règlement général pour la protection des données (RGPD) de son ciblage publicitaire réalisé sur son système d’exploitation Android. Cette sanction tombe suite à l’instruction menée par la Cnil française à la suite d’une plainte déposée les 25 et 28 mai 2018 par deux associations : l’autrichienne None Of Your Business et la française La Quadrature du net. Cette dernière a plus précisément déposé « devant la Cnil, au nom de 12 000 personnes, cinq plaintes contre Google, Apple, Facebook, Amazon et Microsoft » explique l’association sur son site web. Seule l’instruction concernant Google a été  prise en charge par la Cnil française.

« En devenant la société la plus lourdement sanctionnée depuis l’entrée en vigueur du RGPD, Google illustre clairement le type de peine encouru en cas de non conformité, commente Ryan Kalember SVP Stratégie cybersécurité chez Proofpoint. Dans un monde où la protection de la vie privée est primordiale, il est important de miser sur une stratégie de conformité centrée sur l’humain. Cela passe par une visibilité sur les données les plus réglementées et sur la façon dont ces données sont traitées, ainsi que par l’identification des collaborateurs qui y ont accès. »

Pourquoi la Cnil française s’est occupée uniquement de Google ?

« La RGPD a posé un nouveau cadre de coopération entre les différentes « CNIL » européennes » explique La Quadrature du Net dans un article. « Si une entreprise collecte des données dans plusieurs pays européens, les CNIL de tous ces pays doivent collaborer pour contrôler cette entreprise. La CNIL de l’Etat où l’entreprise a le « centre de ses activités » dans l’Union européenne est désignée « autorité chef de file » ». C’est donc cette autorité qui mène l’instruction. L’Irlande se charge d’Apple, Facebook et Microsoft. Le Luxembourg d’Amazon.

Concernant Google, l’entreprise ne dispose pas d’établissement principal : « Le RGPD prévoit une exception au mécanisme de l’autorité chef de file. Si une entreprise n’a pas d’établissement principal au sein de l’Union, mais agit principalement depuis l’étranger, la CNIL de n’importe quel Etat peut la contrôler. » C’est ainsi que la CNIL française a souhaité prendre en charge l’investigation, s’estimant compéte.

Une partie de la plainte traitée

Lors des investigations, deux manquements ont été constatés : les obligations de transparence et d’information, ainsi que l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité. « Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires », argumente la Cnil dans un communiqué. Pour accéder à l’information pertinente, 5 à 6 actions sont nécessaires. De la même manière pour les publicités, « l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au paramétrage » et « l’affichage d’annonces personnalisées est pré-coché par défaut ».

« Cependant,  cette sanction n’est qu’une toute première partie de la réponse à notre plainte contre Google, qui dénonçait surtout le ciblage publicitaire imposé sur Youtube, Gmail et Google Search en violation de notre consentement » ajoute l’association française en attendant que la Cnil réponde « rapidement au reste de notre plainte ». Celle-ci espère un montant plus élevé de sanction, rappelant que le chiffre peut avoisiner les 4 milliards d’euros, soit 4 % du chiffre d’affaire mondial.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Au Sido, les start-up misent sur l'IA pour séduire l'industrie

Au Sido, les start-up misent sur l'IA pour séduire l'industrie

Les start-up n'ont pas manqué le rendez-vous du salon international des objets connectés (Sido) de Lyon pour présenter leur[…]

Longévité des batteries, Microsoft IA, laser ultra-puissant… les innovations qui (re)donnent le sourire

Longévité des batteries, Microsoft IA, laser ultra-puissant… les innovations qui (re)donnent le sourire

Microsoft IA, cybersécurité IBM, ralenti vidéo… les meilleures innovations de la semaine

Microsoft IA, cybersécurité IBM, ralenti vidéo… les meilleures innovations de la semaine

La première Ecole IA Microsoft de Lyon

La première Ecole IA Microsoft de Lyon

Plus d'articles