Alors que le Règlement général sur la protection des données est entré en vigueur le 25 mai 2018, la CNIL vient pour la première fois de faire application des nouveaux plafonds de sanction prévus par ledit règlement (CNIL, délib. n° SAN-001, 21 janv. 2019).

En effet, plusieurs associations avaient saisi la CNIL de plaintes regroupant les réclamations de 9 974 personnes à l’encontre de Google à qui elles reprochaient de ne pas disposer d’un cadre juridique suffisant pour traiter les données personnelles des utilisateurs de ses services. La CNIL a ainsi constaté deux séries de manquements :

Tout d’abord, un manquement aux obligations de transparence et d’information, en retenant que les informations essentielles fournies par Google (finalité du traitement de données, durée de conservation des données, etc.) ne sont pas aisément accessibles pour les utilisateurs puisqu’elles sont disséminées dans plusieurs documents différents, et que l’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois de cliquer 5 ou 6 fois.

La CNIL constate également que les informations fournies ne sont pas toujours claires et compréhensibles, qu’elles sont souventes décrites de manière vague et ne permettent pas aux utilisateurs de prendre conscience de l’ampleur du traitement mis en place.

Ensuite, la CNIL relève un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité. En effet, elle estime que le consentement des utilisateurs n’est pas valablement recueilli pour deux raisons. La première est qu’il n’est pas suffisamment éclairé puisque les informations relatives aux traitements de données étant diluées dans plusieurs documents, cela ne permet pas à l’utilisateur de prendre conscience de leur ampleur. La deuxième réside dans le fait que le consentement recueilli n’est pas « spécifique » ni « équivoque ».

En effet, le consentement n’est pas « spécifique » comme l’exige le RGPD car avant de créer son compte, l’utilisateur est invité à cocher les cases « j’accepte les conditions d’utilisation  de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité », ce qui le fait consentir en bloc pour toutes les finalités poursuivies par Google, alors que le RGPD exige que l’accord soit donné de manière distincte pour chaque finalité. La condition d’équivoque n’est pas non plus remplie en ce sens que l’utilisateur doit consentir en effectuant un acte positif, ce qui n’est pas le cas lorsque la case est pré-cochée par défaut.

C’est donc à ce titre et pour la première fois que la CNIL fait application du RGPD et condamne Google à une amende de 50 millions d’euros.