Google, bouton "Tout refuser" et la CNIL : épilogue après injonction

En décembre 2021, la Commission Nationale de l’Informatique et des Libertés (CNIL), l'autorité française de régulation en matière de protection des données, a pris une décision importante. Se basant sur le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, mieux connu sous le nom de Règlement Général sur la Protection des Données (RGPD), ainsi que sur la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL avait émis une injonction à l'encontre de deux entités majeures du groupe Google : Google LLC et Google Ireland Limited.

La CNIL, en s'appuyant sur les dispositions du RGPD et de la loi de 1978, s'est penchée sur la manière dont Google recueillait le consentement des utilisateurs sur deux de ses plateformes les plus populaires en France : "google.fr" et "youtube.com". La protection des données personnelles étant de plus en plus au cœur des préoccupations européennes, il est notoire que le consentement des utilisateurs est devenu un élément clé du débat avec les GAFAM.

La CNIL a constaté que, bien que Google propose un mécanisme permettant aux utilisateurs d'accepter la collecte de leurs données, le processus pour refuser cette collecte n'était pas aussi simple et direct que le premier. La CNIL y a vu une infraction à l'article 7 du RGPD, qui prévoit que le consentement doit être donné par un acte positif clair.

Face à cette situation, la CNIL a exigé que Google rectifie le tir. L'injonction était claire : Google devait offrir aux utilisateurs un moyen de refuser la collecte de leurs données qui soit aussi simple et direct que le mécanisme actuellement en place pour accepter cette collecte.

En vertu de ses pouvoirs de sanction prévus par l'article 83 du RGPD et les articles 20 et suivants de la loi de 1978, la CNIL a décidé d'accompagner son injonction d'une astreinte sérieuse : si Google ne se conformait pas à cette injonction dans un délai de trois mois, l'entreprise serait soumise à une astreinte financière de 100 000 euros par jour de retard. La somme peut sembler astronomique ; pour un géant comme Google, elle ne représente cependant qu'une incitation sérieuse à se conformer rapidement à l'injonction. Il faut cependant rappeler que Google est bien conscient de la concrétisation possible des sanctions de la CNIL. En janvier 2019, la CNIL avait déjà infligé une amende de 50 millions d'euros à Google pour non-respect du RGPD, concernant des manquements en matière de transparence, d'information et de consentement. Bien que l'amende soit conséquente, elle restait bien en deçà du maximum autorisé par le RGPD, qui peut aller jusqu'à 4% du chiffre d'affaires annuel mondial de l'entreprise ; elle avait d'ailleurs été validée en 2020 par le Conseil d'État.

À la suite de l'injonction de la CNIL, Google a pris des mesures pour répondre aux exigences de l'autorité française. L'une des principales modifications apportées par Google a été l'introduction d'un bouton "Tout refuser" sur ses plateformes "google.fr" et "youtube.com". Cette fonctionnalité offre dorénavant aux utilisateurs la possibilité de refuser en un clic la collecte de leurs données, garantissant ainsi une simplicité équivalente au mécanisme d'acceptation.

Entre avril et juin 2022, Google a transmis plusieurs justificatifs attestant des modifications apportées, notamment le déploiement de nouvelles fenêtres surgissantes relatives aux cookies. Ces échanges ont permis à la CNIL de suivre de près les efforts de Google pour se conformer à l'injonction. En août 2022, la CNIL a sollicité une instruction supplémentaire pour s'assurer de l'effectivité du mécanisme de refus mis en place. Google a répondu en fournissant des précisions supplémentaires en avril 2023.

En juillet 2023, après examen des éléments fournis par Google et des vérifications nécessaires, la CNIL a conclu que Google avait satisfait à l'injonction dans les délais impartis et clôturé l'affaire. Cette décision a plusieurs implications majeures.

Elle rappelle d'abord que la CNIL, malgré les défis posés par les géants technologiques, reste une autorité de régulation puissante. Elle reste capable de faire respecter les droits des utilisateurs, même face à des entreprises de la taille de Google. La décision envoie également un message fort à l'ensemble du secteur technologique.

Si la décision de la CNIL a été un pas en avant pour la protection des données des utilisateurs, la clôture de l'affaire soulève des questions. L'ajout d'un simple bouton "Tout refuser" est-il vraiment suffisant pour garantir la protection des données des utilisateurs ? Bien que Google ait respecté l'injonction, la rapidité avec laquelle l'entreprise s'est conformée à la décision montre qu'elle avait les moyens de le faire depuis longtemps. Pourquoi ne l'a-t-elle donc pas fait plus tôt ? C'est la dimension éthique de l'activité de Google qui est ici en jeu : Google ne pouvait pas ignorer que ses pratiques n'étaient pas conformes aux RGPD. Tel est d'ailleurs le cas de très (trop) nombreux acteurs du secteur du numérique, qui sont parfaitement conscients de leur non conformité au RGPD mais adoptent, pour des raisons économiques évidentes, une attitude attentiste.

Une culture de l'éthique du numérique impliquerait, à l'inverse, un comportement proactif en vue de la garantie des droits des utilisateurs, lequel peut d'ailleurs constituer un argument économique sur le marché. La limite d'une telle approche est que les géants du numérique sont incontournables. En l'absence de concurrence de poids, leurs utilisateurs étant légion, ils n'ont pas besoin de se montrer proactifs pour gagner de nouvelles parts de marché. Les régulateurs nationaux sont donc indispensables, de même que le renforcement de leurs pouvoirs à mesure que le secteur grandit.