Source : Article de la CNIL, du 6 janvier 2022, Conseil d’Etat, Ariaweb
Le 7 décembre 2020, la CNIL prononçait une amende d’un montant total de 100 millions d’euros à l’encontre des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information.
La CNIL relevait en effet que lorsqu’un utilisateur se rendait sur la page www.google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part. Ce type de cookies n’étant pas essentiel au service, la CNIL a considéré que les sociétés n’avaient pas respecté l’obligation de recueillir le consentement des internautes avant le dépôt des cookies.
Ensuite, la CNIL estimait que le bandeau qui s’affichait en pied de page du moteur de recherche google.fr ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés sur le dépôt de cookies, en particulier sur les objectifs de ces cookies et les moyens pour les refuser.
Enfin, la CNIL considérait que le mécanisme proposé par les sociétés pour refuser les cookies était partiellement défaillant. En effet, lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google, un cookie publicitaire demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.
Dans son arrêt du 28 janvier 2022, le Conseil d’État confirme la compétence de la CNIL à prendre des sanctions sur les cookies en dehors du mécanisme de guichet unique prévu par le RGPD et ainsi validé la sanction de la CNIL prononcée à l’encontre des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED.
Le Conseil d’État confirme d’abord que le système du guichet unique prévu par le RGPD n’est pas applicable en matière de dépôts de cookies, lesquels sont encadrés par la loi Informatique et Libertés.
Il relève également que les cookies en cause étant mis en œuvre dans le cadre des activités de Google France, établissement en France des sociétés Google, la CNIL était compétente en vertu de cette loi. Elle n’avait donc pas à transmettre le dossier à l’autorité irlandaise de protection des données (la DPC), qui est l’autorité chef de file des sociétés Google en vertu du RGPD.
Le Conseil d’État a estimé que l’exclusion du système « guichet unique » en matière de cookies était suffisamment claire pour qu’il n’ait pas besoin de saisir la Cour de justice de l’Union européenne à titre préjudiciel, comme le lui demandaient les sociétés.
Sur le fond, le Conseil d’État confirme les trois violations à l’article 82 de la loi Informatique et Libertés sanctionnées par la CNIL : le dépôt de cookies sans consentement préalable de l’utilisateur, le défaut d’information de l’utilisateur et la défaillance partielle du mécanisme proposé pour refuser les cookies.
Enfin, le Conseil d’État estime que le montant des amendes prononcées par la CNIL n’est pas disproportionné au regard de la gravité des manquements, de la portée des traitements et des capacités financières des deux sociétés.
Les sanctions à l’encontre de GOOGLE ne s’arrêtent pas là, puisque la CNIL a par ailleurs prononcé deux amendes d’un montant total de 150 millions d’euros (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED) au motif qu’a été constaté que si le site www.google.fr organise des modalités simples pour accepter immédiatement les cookies, il ne propose pas de solution équivalente permettant à l’internaute de les refuser facilement.
La CNIL a donc considéré que ce procédé portait atteinte à la liberté de consentement et violait l’article 82 de la loi Informatique et Libertés du 6 janvier 1978 suivant lequel :
« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »
Faisant les mêmes constats sur le réseau social FACEBOOK, une amende de 60 millions d’euros était également prononcée à l’encontre de Facebook Ireland Ltd .
Nul doute que des recours vont être formulés devant le Conseil d’Etat. Affaire à suivre.