Selon la Commission nationale de l’informatique et des libertés, Google n’a pas suffisamment divulgué à ses utilisateurs comment leurs informations personnelles sont collectées et utilisées.
The Washington Post rapporte qu’il s’agit de la première pénalité majeure contre un géant américain des technologies depuis l’entrée en vigueur en 2018 de la nouvelle réglementation européenne de protection des données et de la vie privée, et que Google étudie la décision pour déterminer comme elle réagira.
La Commission nationale de l’informatique et des libertés (CNIL) reproche à Google des pratiques commerciales qui vont à l’encontre du Règlement général sur la protection des données (RGPD), par exemple de ne pas avoir obtenu de manière appropriée le consentement des utilisateurs avant de leur montrer des publicités personnalisées, de même que de ne pas avoir suffisamment précisé quelles données sont collectées ni fourni d’outils simples et spécifiques de consentement clair.
« Les détails complets au sujet de ce que Google fait avec l’information personnelle des utilisateurs est extrêmement disséminée à travers plusieurs documents. Le manque de transparence est encore plus flagrant en raison de la quantité de services proposés par Google, dont Google Maps, YouTube et Play Store », rapporte le Washington Post sur la base des conclusions du CNIL.
Le CNIL reproche aussi à Google d’imposer des paramètres de confidentialité, lors de l’ouverture d’un compte, qui incluent par défaut la diffusion de publicités personnalisées, ainsi que d’exiger des futurs utilisateurs qu’ils acceptent tous les termes et conditions pour pouvoir créer un compte Google, une forme de consentement qui est jugée abusive puisqu’elle n’offre que deux possibilités : tout accepter ou ne pas utiliser le service du tout.
L’autorité administrative française en matière de protection des données et de la vie privée aurait commencé son enquête le 25 mai 2018, c’est-à-dire le jour de l’entrée en vigueur du RGPD européen.
« Il est important que les autorités fassent bien comprendre que simplement prétendre être conforme n’est pas suffisant », a déclaré un représentant de l’organisme None of Your Business (Noyb).
Selon François Senécal, avocat en droit des technologies de l’information et directeur chez KPMG à Montréal, la décision « prend appui sur des principes qui se retrouvent aussi dans les lois du Canada et du Québec, soit la transparence, l’obligation d’information et la nécessité d’un consentement valide ».
À son avis, la décision du CNIL relève la barre du respect de ces principes, même si au Canada le Commissariat à la protection de la vie privée avait déjà « précisé et relevé ses attentes quant à ce qui constitue un consentement valide dans des lignes directrices entrées en vigueur le 1er janvier dernier ».
Lire aussi :
Gestion de données : d’autres réformes réglementaires à prévoir
Concurrence : Facebook et Google surveillées en Europe
Google Search et Android : amende de 4,34 milliards d’euros pour Google
