Aperçu
Le 18 mai 2022, l’AEPD issua pris sa décision contre Google, infligeant une amende de 10 millions d’euros pour violation de deux articles du RGPD. Les deux violations visaient l’article six, concernant le traitement licite des données, et l’article 17, concernant le « droit à l’oubli ».
Les violations de l’article 17 de Google consistaient principalement à rendre difficile pour les utilisateurs de soumettre des demandes de suppression de contenu. Google exigeait des utilisateurs qu’ils suivent un processus compliqué qui comprenait la sélection du ou des services Google dont il souhaitait que les données soient supprimées; les motifs pour lesquels la demande était faite (p. ex., diffamation, violation du droit d’auteur, harcèlement, renseignements d’identification personnelle, etc.); et ensuite uniquement acheminer les utilisateurs qui ont sélectionné certains motifs prédéfinis pour la suppression vers le formulaire Web.
Téléchargez l’alerte maintenant!
Selon l’AEPD, Google a violé l’article six dans ses relations avec le projet Lumen, une base de données juridique basée aux États-Unis où ces demandes ont été envoyées. La politique de confidentialité de Google ne traitait pas de ses transferts de données à Lumen, qui comprenaient des informations d’identification non anonymisées, des adresses e-mail et des réclamations légales. Il n’a pas non plus permis à ses utilisateurs de refuser les transferts de données.
Il s’agit de la quatrième amende reçue par Google dans le cadre du RGPD et de la deuxième plus importante au total, après une amende de 50 millions d’euros de la part de la Français DPA en 2019. La Suède et la Belgique ont toutes deux imposé des amendes à Google en vertu du RGPD.
Application
L’AEPD a infligé des amendes de 5 millions d’euros pour chacune des deux violations du RGPD, portant le total à 10 millions d’euros, soit environ 10,2 millions de dollars. Google est également tenu de mettre son traitement des données en conformité avec le RGPD. Les facteurs influençant le montant de l’amende comprenaient :
- Lumen traite les données dans un État non membre, les États-Unis
- Les personnes concernées ne pouvaient pas s’opposer au transfert
- Le traitement des données s’est poursuivi sur une longue période, même avant le RGPD
- La base de données contenant les données privées était accessible au public
Analyse d’expert d’Amalia Barthel, CIPM, CIPT, MPC Co-fondateur, Conférencier et conseiller de l’Université de Toronto
En 2009, une Espagnole du nom de Costeja González a demandé à un journal de supprimer des informations vieilles de dix ans sur son passé. Son affaire contre Google a finalement atteint la Cour de justice européenne, la plus haute juridiction d’Europe. En mai 2014, la CJUE a conclu contre Google (en anglais seulement. Il a reconnu que lorsque nous entrons le nom de quelqu’un comme requête de recherche, des moments dispersés de sa vie sont présentés mécaniquement, avec une signification déformée par le manque de contexte, créant un profil détaillé mais sélectif.
Google a négocié avec les APD de l’UE pour s’approprier le processus permettant aux individus d’exercer leurs droits et de demander à être « oubliés ». Google a rendu le processus de demande d’exercice de ce droit lourd au point qu’il « frustre[d] le but de l’exercice du droit de répression. En raison de ces fardeaux, l’APD espagnole a jugé invalide le consentement obtenu des individus de cette façon, en raison du manque d’options données. Les organisations doivent donner aux individus la possibilité d’exercer leurs droits de manière simple, sans confondre leurs propres politiques avec la loi comme facteur décisif lors de la satisfaction de telles demandes.
Conseil sur la confidentialité des données
En tant que grand-parent des réglementations modernes en matière de confidentialité des données, le RGPD offre encore de nombreuses leçons aux organisations. En savoir plus sur la conformité DSAR dans le livre blanc Exterro, Gestion des DSAR des employés : ce que le RGPD peut nous apprendre.
Par Tim Rollins