Le contrôle français de la protection des données impose à Google 57 millions de dollars au titre du GDPR – TechCrunch

La CNIL, l'organisme français de surveillance de la protection des données, a publié sa première amende GDPR de 57 millions de dollars (50 millions d'euros). L’organisme de réglementation affirme que Google n’a pas respecté le règlement général sur la protection des données (GDPR) lorsque de nouveaux utilisateurs d’Android ont configuré un nouveau téléphone et ont suivi le processus d’intégration d’Android.

Deux organisations à but non lucratif appelées «Aucune entreprise» (noyb) et La Quadrature du Net avaient initialement déposé une plainte en mai 2018 – noyb avait initialement déposé une plainte contre Google et Facebook, alors voyons ce qui arrivera à Facebook. Dans le cadre du GDPR, les réclamations sont transférées aux organes de surveillance locaux de la protection des données.

Alors que le siège européen de Google est à Dublin, la CNIL a tout d’abord conclu que l’équipe de Dublin n’avait pas le dernier mot en matière de traitement des données pour les nouveaux utilisateurs d’Android. Cette décision est sans doute prise à Mountain View. C’est la raison pour laquelle l’enquête s’est poursuivie à Paris.

La CNIL a ensuite conclu que Google ne respectait pas le règlement général sur la transparence et le consentement.

Commençons par le prétendu manque de transparence. "Les informations essentielles, telles que les finalités du traitement des données, les périodes de stockage des données ou les catégories de données à caractère personnel utilisées pour la personnalisation des annonces, sont excessivement disséminées dans plusieurs documents, avec des boutons et des liens sur lesquels il est nécessaire de cliquer pour accéder à des informations complémentaires, ”Le régulateur écrit.

Par exemple, si un utilisateur souhaite savoir comment ses données sont traitées pour personnaliser ses annonces, 5 à 6 tapotements sont nécessaires. La CNIL indique également qu’il est souvent trop difficile de comprendre comment vos données sont utilisées: le libellé de Google est large et obscur à dessein.

Deuxièmement, le flux de consentement de Google n’est pas conforme au GDPR selon la CNIL. Par défaut, Google vous pousse vraiment à vous connecter ou à vous connecter à un compte Google. L’entreprise vous dit que votre expérience sera pire si vous n’avez pas de compte Google. Selon la CNIL, Google devrait séparer l'action de créer un compte de celle de configurer un appareil – le groupement de consentement est illégal au sens du GDPR.

Si vous choisissez de vous inscrire à un compte, lorsque l'entreprise vous demande de cocher ou de décocher certains paramètres, Google n'explique pas ce que cela signifie. Par exemple, lorsque Google vous demande si vous souhaitez des publicités personnalisées, la société ne vous dit pas qu’elle parle de nombreux services, comme YouTube, Google Maps et Google Photos. Il ne s’agit pas uniquement de votre téléphone Android.

En outre, lorsque vous créez un compte, Google ne demande pas de consentement spécifique et sans ambiguïté. L'option de désabonnement des annonces personnalisées est masquée par un lien "Autres options". Cette option est pré-cochée par défaut (cela ne devrait pas).

Enfin, par défaut, Google coche la case "J'accepte le traitement de mes informations comme décrit ci-dessus et expliqué plus en détail dans les Règles de confidentialité" lors de la création de votre compte. Un tel consentement est également interdit dans le GDPR.

La CNIL rappelle également à Google que rien n'a changé depuis son enquête de septembre 2018.

Le président de noyb Max Schrems nous a envoyé la déclaration suivante:

«Nous nous félicitons de ce que, pour la première fois, une autorité européenne de protection des données utilise les possibilités offertes par le GDPR pour punir les infractions flagrantes à la loi. À la suite de l’introduction du GDPR, nous avons constaté que les grandes entreprises telles que Google «interprétaient la loi de manière différente» et n’avaient souvent que superficiellement adapté leurs produits. Il est important que les autorités indiquent clairement que le simple fait de se plaindre ne suffit pas. Nous sommes également heureux que notre travail de protection des droits fondamentaux porte ses fruits. Je voudrais également remercier nos supporteurs qui rendent notre travail possible. "

Mise à jour: un porte-parole de Google nous a envoyé la déclaration suivante:

«Les gens attendent de nous des normes élevées de transparence et de contrôle. Nous sommes profondément déterminés à répondre à ces attentes et aux exigences de consentement du RGPD. Nous étudions la décision de déterminer nos prochaines étapes. "