×
  • Compétences & RH
  • Société Brèves International Brèves internationales Courrier des Lecteurs Les Grandes Signatures Documents Lois à polémiques Docs de L'Economiste Docs de Qualité Enquête de Satisfaction Chiffres clés Prix de L'Economiste 2019 Prix de L'Economiste 2018 Perspective 7.7 milliards Earth Beats Solutions & Co Impact Journalism Day cop22Spécial Cop22 Communication Financière
    International

    Données personnelles: Le règlement européen donne des sueurs froides

    Par Fatim-Zahra TOHRY | Edition N°:5441 Le 29/01/2019 | Partager
    Sa conformité est un grand défi pour les entreprises
    Le cas de la CNIL et Google
    donnees_personnelles_041.jpg
     

    Le 21 janvier 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL, https://www.cnil.fr) a prononcé une sanction de 50 millions d’euros à l’encontre de la société Google LLC. Et ce, en application du règlement européen sur la protection des données (RGPD) entré en vigueur le 25 mai 2018.

    Le montant retenu, ainsi que la publicité de l’amende, se justifient d’abord par la gravité des manquements qui concernent des principes essentiels du règlement à savoir la transparence, l’information et le consentement.  Ses effets se font sentir à travers le monde et notamment au Maroc (cf. notre édition N° 5314 du 13/07/2018).

    Le détail de cette bataille juridique:

    ■ La procédure: Les 25 et 28 mai 2018, la CNIL a reçu des plaintes collectives de l’association None Of Your Business (NOYB) et de l’association La Quadrature du Net (LQDN). Celle-ci était mandatée par près de 10.000 personnes pour saisir la CNIL. Dans ces deux plaintes, les associations reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

    ■ Les manquements relevés:
    - Tout d’abord, la formation restreinte relève que les informations fournies par Google ne sont pas aisément accessibles pour les utilisateurs. L’architecture générale de l’information choisie par la société ne permet pas de respecter les obligations du règlement. Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires.

    L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation.

    De même, il a été signalé que les informations délivrées ne sont pas toujours claires et compréhensibles. Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par Google. Or ces traitements sont particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées.

    En particulier, elle a relevé que les finalités sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités. De même, l’information délivrée n’est pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société Google. Enfin, il a été relevé que la durée de conservation de certaines données n’est pas indiquée.

    - La société Google invoque s’appuyer sur le consentement des utilisateurs pour traiter leurs données à des fins de personnalisation de la publicité. Or l’équipe de la CNIL estime qu’il n’est pas valablement recueilli pour deux raisons. Tout d’abord, le consentement des utilisateurs n’est pas suffisamment éclairé. L’information sur ces traitements, diluée dans plusieurs documents ne permet pas à l’utilisateur de prendre conscience de leur ampleur.

    Par exemple, dans la rubrique dédiée à la «Personnalisation des annonces», il n’est pas possible de prendre connaissance de la pluralité des services, sites, applications impliqués dans ces traitements (Google search, You tube, Google home, Google maps, Playstore, Google photo…) et donc du volume de données traitées et combinées. Ensuite, l’accord recueilli n’est pas «spécifique» et «univoque».

    Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton «plus d’options», présent avant le bouton «Créer un compte». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées.

    Le RGPD n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur «plus d’options» pour accéder au paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or l’aval n’est «univoque», comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple).

    Enfin, avant de créer son compte, l’utilisateur est invité à cocher les cases «j’accepte les conditions d’utilisation  de Google» et «j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité» pour pouvoir créer son compte.

    Un tel procédé conduit l’utilisateur à consentir en bloc, pour toutes les finalités poursuivies par Google sur la base de cet accord (personnalisation de la publicité, reconnaissance vocale, etc.). Or l’autorisation n’est «spécifique», comme l’exige le RGPD, qu’à la condition qu’il soit donné de manière distincte pour chaque finalité.

                                                                         

    ■ Google va faire appel
    Le géant américain Google va faire appel. «Nous avons travaillé d’arrache-pied pour créer un processus de consentement RGPD pour les annonces personnalisées qui soit le plus transparent et le plus simple possible. (...) Nous sommes également préoccupés par les conséquences de cette décision sur les éditeurs, les créateurs de contenu original et les sociétés de technologie en Europe et ailleurs», a affirmé le groupe.
     Ce dernier va saisir le Conseil d’Etat, la plus haute juridiction administrative française. Pour rappel, la nouvelle législation prévoit des amendes allant jusqu’à 4% du chiffre d’affaires pour les entreprises ne respectant pas la vie privée des utilisateurs de leurs services, notamment à des fins de publicité ciblée.

    ■ Plus de 95.000 plaintes dans l’UE en huit mois
    Plus de 95.000 plaintes ont été déposées dans les pays de l’UE depuis l’entrée en vigueur en mai 2018 de nouvelles règles de protection des données personnelles, selon des chiffres de la Commission européenne. Ces plaintes ont déjà débouché sur trois sanctions financières selon l’exécutif européen, dont l’amende record infligée en France au géant américain Google. En marge de la Journée européenne de la protection des données célébrée le 28 janvier, des commissaires européens recommandent aux États membres qui ne l’ont pas encore fait qu’ils adaptent leur cadre juridique aux nouvelles règles établies à l’échelle de l’UE dans les meilleurs délais. Environ 41.000 fuites de données ont ainsi été signalées par des entreprises aux autorités compétentes depuis mai 2018.

    F. Z. T.

    Retrouvez dans la même rubrique

    • SUIVEZ-NOUS:

    • Assabah
    • Atlantic Radio
    • Eco-Medias
    • Ecoprint
    • Esjc