C’est la sanction la plus importante jamais prononcée sur le terrain des données personnelles en France. Selon nos informations, la CNIL infligera demain une sanction monstre de 100 millions d'euros à l’encontre de Google. En cause ? La gestion des cookies sur le moteur de recherche.
Contactée, la CNIL se refuse pour l’heure à tout commentaire, se contentant de nous indiquer qu’une décision sera effectivement publiée demain, sans plus de détail.
Cette pudeur contraste avec l’amende que s’apprête à infliger l’autorité indépendante à l’encontre du géant du Net et en particulier de ses deux entités Google LLC et Google Irlande.
En principe sur le terrain du règlement général sur la protection des données personnelles, la compétence pour mener à bien pareille action est dévolue à l’autorité dite « cheffe de file », soit ici l’homologue irlandais de la CNIL, là où Google a son siège européen.
Si, en janvier 2019, la commission avait malgré tout pu prononcer une amende de 50 millions d’euros contre Google, c’était tout simplement parce que « l’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google LLC ».
Cette fois, cependant, la procédure concerne non le RGPD, mais la directive ePrivacy.
Indélicatesse sur les cookies
Selon nos informations, c’est donc la gestion des cookies par l’écosystème Google qui est épinglé. Ces traceurs notamment destinés à assurer le suivi des internautes à des fins publicitaires.
Leur encadrement relève non du RGPD, mais de la directive ePrivacy de 2002 dont les dispositions ont été transposées à l’article 82 de la loi Informatique et Libertés. Cette directive relative à la vie privée dans le secteur des communications électroniques ne prévoit pas de système de guichet unique imposé par le RGPD. Résultat : la CNIL a donc pu agir seule, de sa propre initiative.
Concrètement, ces dispositions obligent les responsables de traitement à informer de manière « claire et complète » les internautes des finalités de ces traceurs outre des moyens dont ils disposent pour s’y opposer. De cette règle, découle la nécessaire information préalable, outre que ces personnes doivent pouvoir exprimer leur consentement librement.
L'information préalable et le consentement des internautes
Le RGPD n’est pas totalement exclu puisque, par un jeu d’ascenseur, ePrivacy renvoie au règlement du 25 mai 2018 le soin de définir la notion de consentement. Il s'agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». En clair, le consentement doit être libre, spécifique, éclairé et univoque.
D’après nos sources, la CNIL épingle justement cette politique chez Google, en particulier lors de l’arrivée sur la page de garde de son moteur s'agissant des utilisateurs non enregistrés.
Les détails ne sont pas encore connus, mais l'autorité va prononcer une amende de 60 millions d'euros contre Google LLC, l'entité américaine, et 40 autres millions contre Google Irlande. Soit un total de 100 millions d'euros. Un record.
Google confirme cette sanction
Contactée, Google France nous confirme cette sanction à venir et nous indique laconiquement que l’enquête avait été initiée en mars 2020, témoignage d’une procédure très rapide.
Ce mois de mars était l’épicentre d’une période aussi floue que compliquée, pas seulement en raison du confinement. En octobre 2020, la CNIL laissait en effet six mois aux acteurs du Net pour se conformer à ses nouvelles lignes directrices relatives aux cookies.
Dans le même temps, toutefois elle se réservait la possibilité « de poursuivre certains manquements, notamment en cas d'atteinte particulièrement grave au droit au respect de la vie privée ». En clair, certains acteurs ont pu profiter de mansuétudes, quand d’autres non, selon la gravité des indélicatesses appréciées par la seule autorité.
Selon nos constatations, alors que l’enquête se poursuivait, Google Search a modifié son bandeau d’information pour les utilisateurs non logués. Cette mise à jour décidée pas plus tard que cet été n’a semble-t-il pas été jugée suffisante par l’autorité indépendante.
Google aura la possibilité de contester cette décision devant les juridictions administratives. On ne sait pour l'heure quel sera son choix.
Commentaires (16)
Bon ils trouveront une solution avec leur armée d’avocat
C’est surtout que maintenant à chaque visite sur un site google il te demande de te connecter (pour mieux te tracer mais ce n’est pas dit dans le bandeau de connexion).
100 patates ?!?
Tout a fait d accord Stéphane
S’ils demandent un consentement explicite, on peut imaginer que pas mal d’internautes passeront outre, et c’est leur modèle économique qui en prend un coup…
Un record peut-être pour la CNIL, mais une goutte d’eau pour un GAFAM. En attendant, force est de constater que depuis Firefox, la connexion au moteur peut désormais prendre jusqu’à 30s. Une manière comme une autre de “pousser” chrome et ses dérivés, qui eux semblent étrangement échapper au problème.
Il est juste étonnant que Mozilla n’ait pas encore déposé plainte - ah mais non : Mme Baker est chaque année payée 2M$ par google pour se taire… Pas la peine de se demander pourquoi Firefox OS a disparu si vite, remplacé par un kai os minable vendu en feature phone, sans écran tactile - donc sans intérêt, et surtout sans danger pour google.
Du coup, la popup qui demande à se connecter à chaque vidéo YouTube, elle va enfin mémoriser le “non” ?…
Un enfer cette fenêtre, en plus elle met deux heures à charger alors que tout le reste est instantané. L’anti-UX pour t’inciter à valider, nouvelle mode.
C’est tellement ça, c’est dingue…
Je suis persuadé qu’ils n’auront pas à payer ça après appel.
Idem.
J’ai installé ce script : https://greasyfork.org/fr/scripts/412178-youtube-dismiss-sign-in
(Et pour le peu de fois que je vais sur Youtube, je trouve ça bien chiant…)
Ah purée c’est exactement ça !!
J’ai testé rapidement avec un profil Firefox vide. Si Je refuse une fois la connexion, il ne me le demande pas à la réouverture du navigateur.
En navigation privée, je me tape la popup à chaque fois. Et la suivante sur le consentement du pistage. Ça fait partie de leur stratégie de pourrissement de l’expérience utilisateur pour ceux qui évite le pistage. Pour les utilisateurs de bloqueurs de pub, de navigation privée, de Tor, de Firefox, ceux qui refusent la géolocalisation Google sur Android, ceux qui veulent utiliser f-droid comme magasin d’apps, à eux les popups, les ralentissements, les captchas, les confirmations multiples…
Par contre ce qui est abusé sur Youtube, c’est d’étaler sur de multiples pages/popups le refus de pistage et de suivi d’historique. Je me demande si c’est vraiment légal que le refus demande beaucoup plus de clic (au moins une dizaine) que l’acceptation (un seul).
Ahh, Google a réagi, afin économiser pour payer l’amende, ils vont limiter la taille des stockages de gmail et drive…
Amazon aussi s’est pris une torgnole à 35 millions.
https://www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core
Oui pour à peu près les mêmes raisons.
Vivement que la CNIL s’attaque à tous les sites de presse français qui violent le RGPD ou le ePrivacy.
Yep, ça sera pas mal de calmer la fête du slip qui a lieu chez la plupart de ces sites.