Home » Articles (français) » La CNIL inflige une sanction de 50 millions d’euros à Google pour non-respect du RGPD

La CNIL inflige une sanction de 50 millions d’euros à Google pour non-respect du RGPD

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur. Depuis cette date, les entreprises sont tenues de se conformer au texte afin de protéger au mieux les données personnelles des citoyens au sein de l’Union européenne.

En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui contrôle le respect du Règlement par les entreprises et impose les sanctions appropriées. En fait, certains grands acteurs du Web ont déjà été sanctionnés par la Commission pour le traitement des données personnelles.

A l’initiative de milliers de personnes, les groupes d’intérêt « La Quadrature du Net » (LQDN) et « None of Your Business » (NOYB) ont porté plainte contre Google LLC via la CNIL. Le 21 janvier 2019, la CNIL a infligé une amende de 50 millions d’euros à Google après de multiples violations du Règlement Général sur la Protection des Données (RGPD) récemment approuvé.

 

Cette décision a été vue comme une victoire pour les défenseurs de la loi sur la protection des données personnelles, contre le manque de transparence de Google. Une victoire également face à l’utilisation des données personnelles sans le consentement éclairé des utilisateurs européens.  La décision peut ainsi servir d’exemple pour toutes les affaires concernant la collecte des données personnelles dans l’Union Européenne.

 

Consentement

La CNIL a notamment constaté que Google avait transgressé l’article 12 du RGPD « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée ». Google avait donc dérogé au principe de transparence du RGPD, car les utilisateurs ignoraient la portée et les conséquences liées à l’utilisation de leurs données personnelles mais également la façon dont Google en faisait l’utilisation.

 

La CNIL a donc reproché à Google l’absence de clarté de ses Conditions Générales, et notamment s’agissant de la collecte des données personnels des utilisateurs, car celles-ci étaient présentées non pas seulement en un seul et unique document explicatif mais dissimulés dans plusieurs documents. Cela a donc été jugé contraire aux dispositions des articles 12 et 13 du RGPD.

 

Par ailleurs, la décision prononcée à l’égard de Google suscite des inquiétudes de la part des entreprises américaines au sujet de l’impact des sanctions prononcées en cas de négligence de la mise en conformité avec le RGPD.

 

En effet, cette décision fixe un cadre stricte à respecter s’agissant du traitement des données personnelles au niveau européen. Désormais il est nécessaire d’obtenir un consentement clair et explicite des utilisateurs s’agissant du traitement de leur données personnelles afin que les conditions générales soient en conformité avec le RGPD.

 

 

 

Compétence

Pour sa défense, Google a fait valoir que la CNIL n’avait pas compétence pour traiter les plaintes déposées à l’encontre de Google Europe. En effet, Google a avancé comme argument que le principal établissement de Google Europe était situé en Irlande et seule la Commission de protection des données située à Dublin était compétente.

 

Compte tenu de l’article 4, paragraphe 16, et de l’article 36 du RGPD s’agissant de la définition de « l’établissement principal », Google a fait valoir que son établissement principal était situé à Dublin et exerçait les principales fonctions administratives, financières et techniques afin d’être considéré comme l’établissement principal en Europe.

 

Toutefois, il a pu être démontré que ces fonctions n’étaient pas suffisantes pour en faire le lieu de prise de décision et les critères de la définition n’étaient ainsi pas remplis car il s’agissait en réalité de fonctions partagées. En effet, il en est ressorti que le principal établissement de Google était en réalité situé aux États-Unis car c’est en Californie que s’effectuent toutes les prises de décisions avant d’être relayées par la suite en Irlande.

 

Compte tenu de la présence d’aucun établissement principal en Europe et conformément aux articles 55 et 56 du RGPD, la CNIL s’est ainsi déclarée compétente. Par ailleurs, il convient d’ajouter que la Commission de protection des données située à Dublin s’est déclarée incompétente le 27 août 2018 pour prononcer une décision à l’encontre de Google.

 

C’est la première fois que la CNIL prononce une sanction financière aussi importante en matière de traitement des données personnelles, c’est pourquoi cette solution va permettre d’accélérer la mise en conformité avec le RGPD.

 

Dans le cas où ces entreprises ne se conforment pas au RGPD, des sanctions élevées pourraient être prononcées par les Commissions compétentes en matière de contrôle du respect des traitements des données personnelles sur le territoire européen, afin de préserver les utilisateurs et notamment garantir le respect de leur données personnelles.

 

Rédigé par:

Aleks García Fernández

Karen Loutfi

Brigitte Spiegeler