RGPD : Google sanctionné d'une amende de 50 millions d'euros par la CNIL

Lundi 21 janvier 2019, le géant des GAFAM, GOOGLE LLC, a été sanctionné par la Commission nationale informatique et des libertés (CNIL) autorité française de régulation des données personnelles d’une amende de 50 millions d’euros pour violation du Règlement européen sur la protection des données personnelles (RGPD). Dès l’entrée en vigueur du RGPD, le 25 mai 2018, deux associations françaises None Of Your Business (« NOYB ») et La Quadrature du Net (« LQDN ») ont déposé plainte devant la CNIL pour non-respect de la protection des données personnelles en dénonçant les services de création du compte de l’utilisateur lors de la configuration de son téléphone mobile sous Android.

La CNIL évince la compétence de l’autorité irlandaise revendiquée par GOOGLE LLC et relève deux séries de manquements imputables à ce dernier, d’une part, le défaut de transparence et l’insuffisance d’information en violation des articles 12 et 13 du RGPD et d’autre part, le manque de base légale de traitements de données personnelles à défaut de consentement valable de l’intéressé contrairement à l’article 4, 11) du RGPD.

Une sanction record

Par cette sanction record de 50 millions d’euros contre le géant du web américain, la CNIL proclame au niveau international les exigences du Règlement européen. L’utilisateur doit recevoir une information transparente, claire, concise et aisément accessible sur le traitement de ses données. Son consentement doit être éclairé, univoque et spécifique à un traitement de données personnelles. Google a indiqué interjeter appel de la décision de la CNIL devant le Conseil d’État. La compétence de la CNIL sera-t-elle confirmée par la Haute juridiction administrative française ? La sanction sera-t-elle confirmée ? 

La suite au prochain acte. La saga des décisions sur la conformité au GDPR continue vers, peut-être, l’élévation de la protection des données personnelles au rang constitutionnel, comme l’avait indiqué l’ancien Président de la CNIL Alex Turk.

Une décision qui tire la sonnette d’alarme

Pour les rédacteurs des politiques de confidentialité, des conditions générales d’utilisation et autres supports relatifs aux données personnelles : la vigilance est de mise quant au choix de l’architecture générale de l’information des personnes sur l’utilisation de leurs données personnelles et le recueil de leur consentement comme base légale du traitement.