Amendes RGPD contre Google

La (CNIL), l'autorité française de protection des données (DPA), a infligé une amende de 50 millions d'euros ($57 millions) à Google pour violation des exigences de transparence, d'information et de consentement du RGPD lors du déploiement de publicités ciblées. La plus grosse amende imposée par le RGPD à ce jour et la première impliquant une entreprise technologique américaine a été prononcée le 21 janvier 2019.

L'enquête de la CNIL a été déclenchée par des plaintes de deux groupes de défense, None of Your Business et La Quadrature du Net, déposées immédiatement à la date d'entrée en vigueur du 25 mai 2018 du RGPD. Les plaintes alléguaient un "consentement forcé", par lequel les utilisateurs d'appareils mobiles fonctionnant sous Android devaient accepter l'intégralité de la politique de confidentialité et des conditions d'utilisation de Google avant d'utiliser l'appareil Android. Google n'a pas de base légale pour traiter les données personnelles des utilisateurs en ce qui concerne la personnalisation des annonces.

Pourquoi une amende de 50 millions d'euros ?

La CNIL s'est appuyée sur quatre éléments pour prononcer son amende de 50 millions d'euros.

1. Nature des infractions relatives à la licéité (art. 6) et à la transparence (art. 12 et 13), qui sont tous deux des principes fondamentaux du RGPD et répertoriés comme déclenchant le seuil d'amende le plus élevé (de 4% de International Revenue) dans le RGPD ( article 83.5).
2. Parce que les infractions étaient continues et continues après la date d'entrée en vigueur du RGPD.
3. Les finalités de traitement, leur étendue et le nombre de personnes concernées.
   • L'enquête de la CNIL s'est concentrée sur les utilisateurs ayant créé un compte Google lors de la configuration de leur appareil Android et a constaté qu'il s'agit d'un très grand nombre d'individus.
   • Ils soutiennent qu'en raison de la part de marché dominante d'Android sur le marché français des smartphones et du nombre d'utilisateurs de smartphones en France, le traitement est vaste.
   • Compte tenu également du nombre de services Google concernés (plus d'une vingtaine).
     • La variété et le type de données impliquées
     • Les multiples processus technologiques qui permettent à Google de combiner et d'analyser des données provenant de divers services, applications ou sources externes.
     • Ces processus ont indéniablement un « effet multiplicateur » sur la connaissance que l'entreprise a de ses utilisateurs.
     • L'entreprise a les moyens de combinaisons potentiellement illimitées permettant une utilisation massive et intrusive des données des consommateurs.
4. Lorsque l'on considère les infractions sous l'angle du modèle économique de Google,
   • Le traitement des données des utilisateurs à des fins publicitaires via Android.
   • Avantages que Google retire de ce traitement,
   • La CNIL a estimé que Google devait redoubler de prudence quant à ses responsabilités dans le cadre du RGPD.

La CNIL ne précise pas comment elle est parvenue au montant de 50 millions d'euros, mais indique que ces infractions seraient passibles de l'amende maximale 4% du RGPD. Fine était basé sur le chiffre d'affaires mondial de Google en 2017 de 96 milliards d'euros. Il est clair que la CNIL n'a pas imposé l'amende maximale. Cependant, à part dire que l'amende de 50 millions d'euros était "justifiée". La CNIL ne fournit aucune motivation sur ce montant de départ ni sur la manière dont les facteurs mentionnés ci-dessus ont influencé ce montant.

Décisions et amendes 2018

Cette affaire contre Google représente la première mesure d'exécution publiée par la CNIL, explicitement dans le cadre du RGPD et la plus grosse amende qu'elle ait jamais infligée. Il met également en lumière le contrôle par la CNIL de l'avis et du consentement dans la publicité en ligne, qui s'était accumulé au cours des derniers mois, comme en témoignent d'autres décisions récentes de la CNIL.

Cette amende intervient un mois après que la DPA italienne a infligé une amende de 10 millions d'euros à Facebook pour avoir induit ses propres utilisateurs en erreur sur les pratiques en matière de données. Le chien de garde a déclaré que Facebook avait à tort souligné la nature gratuite du service sans informer les utilisateurs du fait que leurs données seraient utilisées pour générer un profit pour l'entreprise.

Google n'a pas été la première amende GDPR, mais la plus importante à ce jour.

La première amende a été prononcée en Autriche en octobre 2018, bien qu'elle ne soit pas strictement liée au traitement des données personnelles. Un magasin de paris a reçu une amende de 4 800 € pour une caméra de sécurité qui enregistrait une partie du trottoir à l'extérieur, car la surveillance à grande échelle des espaces publics n'est pas autorisée par le RGPD.

Fin octobre, le Commission nationale de protection de Dados (Commission nationale de protection des données) au Portugal a infligé trois amendes à l'Hospital do Barreiro : Il s'agit des premières amendes liées au traitement et au stockage de données personnelles. Deux sanctions de 150 000 € et une autre de 100 000 €. Pour un coût total de 400 000 € pour l'hôpital. Les deux premières amendes de 150 000 € concernaient la violation du principe d'intégrité et de confidentialité des données et la violation du principe de minimisation des données, qui empêche en théorie l'accès indiscriminé aux données. 985 médecins avaient des comptes actifs sur le système leur donnant accès aux dossiers cliniques, alors que l'hôpital ne comptait que 296 médecins actifs à la date de l'inspection.

La troisième amende était liée à l'incapacité de l'Hôpital en tant que responsable du traitement à assurer la confidentialité et l'intégrité des données de ses clients et patients.

Mi-novembre, un réseau social en Allemagne, Knuddels.de, reçu 20 000 € bien après un piratage qui a provoqué la fuite de 808 000 adresses e-mail, ainsi que de plus de 1,8 million de noms d'utilisateur et de mots de passe. Ces informations ont ensuite été publiées en ligne sans cryptage. Le réseau social a réagi en disant qu'une fois la fuite découverte, il a immédiatement amélioré ses mesures de sécurité.

Après l'incident, il a été découvert que le site Web n'avait aucune sorte de protection sur ses informations sensibles. Selon LfDI Baden-Württemberg, l'agence allemande de protection des données chargée de cette affaire, l'une des raisons pour lesquelles le site Web a reçu une amende "relativement faible" est qu'il a agi avec transparence et a rapidement mis en œuvre des améliorations de sécurité.

Amendes plus élevées prévues en 2019

Les sanctions économiques jusqu'à présent sont clairement conservatrices par rapport aux sanctions maximales possibles autorisées, mais avec la récente série de fuites de données très médiatisées de Marriott, British Airways, et Quora il ne faudra pas longtemps avant que des amendes plus importantes et plus sévères commencent à apparaître.

Comment éviter les amendes RGPD ?

Que pouvez-vous faire pour éviter une amende de plusieurs millions d'euros ou de dollars ? La chose la plus importante à garder à l'esprit est qu'il vaut mieux prévenir que guérir. En ayant approprié protection contre les fuites de données en place pour les données personnelles que votre entreprise gère, vous pouvez éviter les sanctions et les amendes.

• Commencez par déterminer si le stockage en ligne ou sur prim est la bonne solution pour vos besoins

• Contrôler qui y a accès

• Sachez que si vous utilisez Sync and Share au lieu d'un solution de partage de fichiers en cloud privé, vous venez de doubler la quantité de données dont vous disposez, et vous avez également doublé le # des emplacements que vous devez défendre. Plus un de ces endroits sur lesquels vous n'avez aucun contrôle.

• La complexité réduit la sécurité. Plus une solution est complexe, moins elle sera utilisée.