L’officier français chargé de l’application des lois sur les données déclare Google et Meta coupables d’avoir enfreint les réglementations européennes en matière de protection de la vie privée. Les organisations recevront une amende de 210 millions.

Les utilisateurs français de YouTube (Google) et de Facebook (Meta) ne disposent pas d’une liberté de choix suffisante pour refuser ou autoriser le suivi des cookies.

Conformément à la réglementation européenne, les internautes ont droit au respect de leur vie privée. Cela inclut un moyen raisonnable de refuser et d’autoriser le suivi des cookies. Les fournisseurs de services tels que Google et Meta sont chargés de fournir ce moyen. Selon la CNIL (autorité française de l’informatique), les organisations ont échoué.

La branche américaine de Google écopera d’une amende de 90 millions d’euros. Les filiales irlandaises de Google et Meta écoperont d’une amende de 60 millions d’euros. Dans trois mois, les organisations seront condamnées à une amende de 100 000 euros pour chaque jour où la politique en matière de cookies reste inchangée. La menace concerne youtube.fr, google.fr et la plateforme française de Facebook.

« Les utilisateurs ont confiance que nous respectons leur vie privée et leur sécurité », a déclaré un porte-parole de Google. « Nous sommes bien conscients de la responsabilité de respecter cette confiance. Nous nous engageons à changer et coopérons activement avec la CNIL.

Tous les yeux sur l’Irlande

Le RGPD ne peut être appliqué que par les autorités du pays dans lequel se trouve l’organisation fautive. Si Google et Meta sont coupables de traitement non sécurisé de données personnelles, la responsabilité de l’application incombe presque toujours à la Commission irlandaise de protection des données (DPC). Cependant, cet incident ne concerne pas le traitement des données personnelles, mais le consentement au traitement des données personnelles. Dans ce cas, la loi européenne ePrivacy peut s’appliquer.

La loi inclut le droit à la vie privée pour les résidents européens. GDPR et ePrivacy se chevauchent, mais là où GDPR dicte largement la manière dont les organisations doivent gérer les données personnelles, ePrivacy spécifie les méthodes souhaitées. Contrairement au GDPR, ePrivacy peut être appliqué par des agences situées en dehors du pays de l’organisation coupable. La CNIL en a fait bon usage. La France s’est aventurée sur le sol irlandais. La question est de savoir si le DPC irlandais n’aurait pas pu empêcher cela.

Selon un certain nombre de décideurs européens, le RGPD est insuffisamment utilisé par la DPC. Le gouvernement irlandais mettrait trop peu de ressources à la disposition de l’autorité. Cela peut signifier que des violations comme celles de Google et Meta passent le DPC.

Récemment, des critiques ont appelé Didier Reynders (chef du RGPD de la Commission européenne) à imposer des sanctions au DPC irlandais. Reynders a défendu le DPC et a invalidé la critique par manque de preuves. Les poursuites françaises contre Google et Meta sont frappantes, mais aucune indication d’incompétence au titre du DPC.