En bref – La sanction de la Commission nationale de l’informatique et des libertés (CNIL) à l’égard de Google marque un tournant dans la régulation des données personnelles et esquisse la position française d’un nécessaire débat européen à venir sur la question.
Paris. La fin janvier a été chargée pour la Commission nationale de l’informatique et des libertés (CNIL). Outre la nomination de Marie-Laure Denis, ancienne membre du Conseil supérieur de l’audiovisuel et de l’Arcep, qui en prendra officiellement la direction le 2 février, la Commission a émis le 21 janvier une amende de 50 millions d’euros à l’encontre de Google (2). Cette sanction historique fait suite à une double plainte des associations La Quadrature du Net et de None Of Your Business déposées en mai 2018, reprochant à l’entreprise de ne pas informer suffisamment clairement ses utilisateurs sur l’exploitation de leurs données personnelles.
Créée pour limiter les abus de l’État en matière de fichiers, elle est désormais au coeur de l’économie numérique grâce au Règlement général sur la protection des données personnelles (RGPD), entré en application au printemps. En effet, si le texte a été voté au niveau européen, c’est aux agences de surveillance nationales de s’assurer de son application.
Depuis son adoption, l’interprétation du RGPD était discutée et la sanction à l’encontre de Google permet d’éclaircir le point de vue du régulateur. En effet, à la lecture du communiqué de la CNIL on comprend que ce qui est reproché à l’entreprise est un manque de clarté et facilité d’implémentation des critères de protection des données personnelles par l’utilisateur. En particulier elle écrit que “la formation restreinte constate que les informations délivrées ne sont pas toujours claires et compréhensibles” (2). En clair, ce qui est sanctionné par la CNIL sont les pages d’explications techniques délibérément complexes qui sont proposées lorsqu’un utilisateur doit valider les conditions d’utilisation.
Ce jugement complète la récente tribune du comité éditorial du New York Times “How Silicon Valley Puts the ‘Con’ in Consent” qui révèle que l’utilisateur moyen consacrerait près de 79 jours par an à lire les différentes conditions d’utilisation des produits qu’il consomme (3). Comment alors garantir l’utilisation “libre, spécifique, éclairée” (1) qu’exige le RGPD ? Ce que signale de fait la CNIL est la nécessaire transformation du rapport entre les entreprises du numérique et les citoyens dont les données personnelles sont exploitées.
Cette première décision relative au RGPD par une agence de régulation a créé un point d’ancrage qui guide l’interprétation du texte. Néanmoins, les régulateurs suédois et allemand ont aussi commencé à enquêter sur les pratiques de Google, et leurs avis respectifs permettront de mesurer le chemin à parcourir avant l’établissement d’un consensus européen sur la question.
Perspectives :
- À court terme, la sanction de la CNIL clarifie la position française dans le domaine du numérique.
- Ce jugement peut être la première marche en direction d’une politique européenne unie dans le domaine numérique.
- L’entreprise américaine a fait appel du jugement de la CNIL, mais on attend aussi la réaction des autres pays européens sur la question.
Sources :
- Conformité RGPD : comment recueillir le consentement des personnes ?, CNIL, 3 aout 2018.
- The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC, EDPB, 21 janvier 2019.
- How Silicon Valley Puts the ‘Con’ in Consent, The New York Times, 2 février 2019.
Gustave Ronteix |