C’est maintenant un fait juridiquement admis: le géant d’Internet trompe ses utilisateurs en matière d’informations sur la collecte et les traitements effectués sur les données personnelles: il vient d’être condamné par la CNIL, avec une première sanction utilisant les possibilités du nouveau règlement Européen RGPD.
Cette sanction fait suite aux plaintes déposées en mai 2018 par les collectifs NOYB et LQDC.
Manquement aux obligations de transparence et d’information
Il avait été dénoncé par les collectifs l’impossibilité pour un utilisateur de connaître de manière claire les données personnelles que le groupe récolte massivement depuis ses services et ses mouchard (cookies), et d’en savoir les finalités (ce que le groupe fait de ces données).
Le texte du délibéré de la CNIL indique que
« Les données collectées par Google proviennent de sources extrêmement variées. Ces données sont collectées à la fois à partir de l’utilisation du téléphone, de l’utilisation des services de la société, tels que le service de messagerie Gmail ou la plateforme de vidéos Youtube, mais aussi à partir des données générées par l’activité des utilisateurs lorsqu’ils se rendent sur des sites tiers utilisant les services Google grâce notamment aux cookies Google analytics déposés sur ces sites. »
Cette collecte massive est considérée comme fortement intrusive :
« Considérée isolément, la collecte de chacune de ces données est susceptible de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes, dont leurs habitudes de vie, leurs goûts, leurs contacts, leurs opinions ou encore leurs déplacements. Le résultat de la combinaison entre elles de ces données renforce considérablement le caractère massif et intrusif des traitements dont il est question. »
Ainsi, la CNIL confirme que, par les méthodes d’informations choisies par le géant Google, l’utilisateur n’est pas en mesure de connaître la portée des traitements effectué sur sa vie privée.
Bien que, comme beaucoup d’entreprises peu respectueuses le déclarent, Google affirme s’être mis en conformité avec le RGPD, notamment l’art 12 qui traite de cette partie, la CNIL affirme que cette dernière n’est toujours pas en règle avec le RGPD, en particulier l’art 12, puisque ce dernier précise que les informations liées à tout traitement de donnée personnelles doivent être accessibles de manière claire et simple. La CNIL rappelle en outre que cette infraction n’est pas un manquement exceptionnel du groupe, mais une infraction répétée malgré les nombreuses mises en demeure qui lui ont été transmises à ce sujet.
Manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité
La plainte portait également sur l’absence d’un véritable consentement des utilisateurs pour traiter leurs données.
En effet, la CNIL relève que le consentement recueilli par Google ne respecte par les règles du RGPD. Par les différentes manières d’amener les utilisateurs à créer un compte, ce dernier ne peut percevoir clairement les conséquences liées à son accord, donné uniquement sur la base des informations fournies. Il doit pour se faire naviguer dans une multitudes de documents (pas moins de 20 sociétés vont pouvoir utiliser les données collectées) et ensuite en faire lui-même un regroupement et une analyse pour en sortir les détails requis.
La CNIL relève notamment que « la description des finalités poursuivies ne permet pas aux utilisateurs de mesurer l’ampleur des traitements et le degré d’intrusion dans leur vie privée qu’ils sont susceptibles d’emporter. »
Et pourtant
Nombres de société ou organisations imposent les algorithmes Google sur leurs sites ou services
Combien de fois on peut trouver sur les sites internet de sociétés, d’organisation privées ou publiques, l’usage de traceurs ou services intrusifs de ce géant comme Google Analytics, ou GoogleDoc, GoogleMap, ou bien d’autres encore. Ces sociétés affirment mettre pourtant la sécurité de nos données personnelles au premier rang de leurs préoccupations, et crient haut et fort leur total respect au RGPD…
Peut-être que cette condamnation, et probablement celles qui vont suivre pour les autres géants mentionnés dans les plaintes, vont permettre aux responsables « numériques » de ces sociétés de réfléchir avant de placer une confiance quasi aveugle dans les outils « gratuits » fournis par ces prédateurs numériques, les GAFAM.