Par un arrêt du 19 juin, le Conseil d’État a confirmé la décision de la CNIL qui avait condamné Google à une sanction financière de 50 millions d’euros en application du RGPD. Sanctionné le 21 janvier 2019 par la CNIL pour des manquements concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android, Google a saisi le Conseil d’État pour demander l’annulation de cette sanction prise sur le fondement du règlement général sur la protection des données (RGPD).
La CNIL reprochait au géant du web d’avoir compliqué l’accès des utilisateurs aux informations concernant le traitement de leurs données, et d’avoir multiplié et croisé la collecte d’informations provenant de diverses sources qu’il contrôle : Gmail, Youtube, historique de navigation web… Google utilisait ces informations de manière intrusive pour servir des publicités ciblées. En effet, l’éditeur d’Android avait enfoui les informations relatives au traitement des données de personnalisation et de géolocalisation derrière une arborescence complexe, obligeant l’utilisateur à multiplier les clics pour pouvoir enfin comprendre pourquoi et comment il est ciblé. De plus, le recueil du consentement et l’information relative au ciblage publicitaire ne sont pas présentés de manière suffisamment claire et distincte pour que le consentement de l’utilisateur soit valablement recueilli.
Le Conseil d’État a donc confirmé les reproches portés par la CNIL sur la qualité et l’accessibilité de l’information mise à la disposition des utilisateurs d’Android par Google, concernant le traitement de leurs données. Dans son arrêt, « Il considère que son organisation en arborescence ne répond pas aux exigences de clarté et d’accessibilité requises par le RGPD, alors même que les traitements en cause sont particulièrement intrusifs par leur nombre et la nature des données collectées ».
Et ce n’est pas tout, car une fois que l’utilisateur atteint la page où il devrait trouver l’information sur les données collectées le concernant, celles-ci ne sont pas assez claires et détaillées pour lui permettre de reprendre le contrôle sur ses données, comme le prévoit le RGPD. Le Conseil d’État relève que « l’information disponible est parfois lacunaire, notamment s’agissant de la durée de conservation des données et des finalités des différents traitements opérés par Google ».