Catégorie dans ⚖️ Droit du numérique

Google sanctionné pour clauses abusives

Le 12 Février 2018, le TGI de Paris a déclaré abusives et illicites les clauses des « Conditions d’utilisation » et des « Règles de confidentialité » de Google. Cette décision est importante dans la mesure où elle affirme que les grands groupes sont obligés de respecter leurs obligations de transparence et de consentement en matière de protection des données personnelles. 

Google avait été assigné par UFC Que Choisir ? qui estimait que les clauses ne respectaient pas la vie privée et les données personnelles des consommateurs.

Le TGI a affirmé que ces clauses étaient régies par le droit de la consommation car le service fourni par Google n’est pas gratuit. En effet, la firme américaine commercialise les données à caractère personnel déposées par les utilisateurs à des entreprises. 

Les clauses des « Règles de confidentialité » procuraient une information générale qui ne permettait pas à l’utilisateur de prendre conscience des finalités réelles du traitement. De ce fait, il ne pouvait mesurer correctement la portée de son engagement en utilisant les services de Google. Le TGI souligne alors l’absence d’information claire et complète, ainsi que la non possibilité pour l’utilisateur de s’opposer aux dépôts systématiques de cookies. Le TGI invalide également la clause autorisant Google au recoupement de l’ensemble des données d’un utilisateur pour une offre de son service sans avoir recueilli préalablement son consentement. 

Concernant les « Conditions d’utilisation » de Google, le TGI invalide les clauses prévoyant que la seule utilisation des services vaut acceptation, et dénonce l’exclusion des dispositions françaises du droit d’auteur au profit de la loi américaine.

Le TGI déclare alors 38 clauses abusives, et condamne le géant du net à 30 000 euros de dommages et intérêts, ainsi que 20 000 euros au titre des frais de justice à l’UFC Que Choisir ?. Google devra placer sur la page d’accueil de son site un lien vers le jugement. 

Google sanctionné par la CNIL

Le 21 Janvier 2018, la CNIL a prononcé une sanction de 50 million d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Plusieurs associations sont à l’origine de cette sanction. En effet, en mai 2018, la CNIL a reçu des plaintes collectives de l’association None Of Your Business (« NOYB ») et de l’association La Quadrature du Net (« LQDN »). Celles ci reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

Après avoir enquêté, la CNIL a constaté deux manquements aux dispositions au RGPD :

La CNIL retient un manquement aux obligations de transparence et d’information : les informations fournies par Google ne sont pas facile d’accès pour les utilisateurs. La durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité sont excessivement disséminées dans plusieurs documents. Les informations pertinentes ne sont accessibles qu’après plusieurs étapes, et ne sont pas toujours claires et compréhensibles pour l’utilisateur.

La CNIL retient un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité : le consentement nécessaire au traitement n’est pas valablement recueilli par la firme américaine. Le consentement n’est suffisamment éclairé puisqu’il est dissimulé dans plusieurs documents. Il n’est pas spécifique et univoque car l’utilisateur doit cliquer sur plusieurs options pour accéder au paramétrage de son compte, et donc modifier son compte ; et des choix par défaut sont pré-cochés. Cela contrevient au RGPD car c’est à l’utilisateur de cocher la case de son choix.

La CNIL condamne alors publiquement la société Google à une amende prévue par les nouveaux plafonds du RGPD. Cette sanction est élevée car les manquements retenus perdurent à ce jour et sont des violations continues du RGPD.

Bouygues Télécom sanctionné par la CNIL

La CNIL a prononcé une sanction de 250 000 euros à l’encontre de Bouygues Télécom pour avoir insuffisamment protégé les données de ses clients B&You.

Un signalement informant la CNIL de l’existence d’un incident de sécurité a été reçu en mars 2018. Cet incident a rendu accessible les données personnelles de deux millions de clients pendant plus de deux ans. En effet, des tiers pouvaient avoir accès aux contrats, aux factures et aux données identifiantes des clients.

Après un premier un contrôle et une première notification, l’opérateur a rapidement corrigé la faille de sécurité.

Cependant, l’autorité de contrôle a considéré que la société avait manqué à son obligation d’assurer la sécurité des données personnelles des utilisateurs de son site, en oubliant de réactiver sur le site la fonction d’authentification à l’espace client. Cette dernière avait été désactivée après une phase de test. La société Bouygues Télécom a donc violé les dispositions de l’article 34 de la Loi informatique et libertés.

Une sanction pécuniaire a alors été prononcée à son encontre. Toutefois, la CNIL reconnait que l’opérateur a fait des efforts de protection des données personnelles de ses clients en mettant en place des bonnes pratiques par le biais de fiches conseils pour ses clients, et une formation de ses salariés.

Source : cnil.fr