Le 21 Janvier 2018, la CNIL a prononcé une sanction de 50 million d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
Plusieurs associations sont à l’origine de cette sanction. En effet, en mai 2018, la CNIL a reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de l’association La Quadrature du Net (« LQDN »). Celles ci reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.
Après avoir enquêté, la CNIL a constaté deux manquements aux dispositions au RGPD :
La CNIL retient un manquement aux obligations de transparence et d’information : les informations fournies par Google ne sont pas facile d’accès pour les utilisateurs. La durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité sont excessivement disséminées dans plusieurs documents. Les informations pertinentes ne sont accessibles qu’après plusieurs étapes, et ne sont pas toujours claires et compréhensibles pour l’utilisateur.
La CNIL retient un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité : le consentement nécessaire au traitement n’est pas valablement recueilli par la firme américaine. Le consentement n’est suffisamment éclairé puisqu’il est dissimulé dans plusieurs documents. Il n’est pas spécifique et univoque car l’utilisateur doit cliquer sur plusieurs options pour accéder au paramétrage de son compte, et donc modifier son compte ; et des choix par défaut sont pré-cochés. Cela contrevient au RGPD car c’est à l’utilisateur de cocher la case de son choix.
La CNIL condamne alors publiquement la société Google à une amende prévue par les nouveaux plafonds du RGPD. Cette sanction est élevée car les manquements retenus perdurent à ce jour et sont des violations continues du RGPD.