Par la Délibération de la formation restreinte SAN-2020-012 du 7 décembre 2020, la CNIL (Commission Nationale de l’Informatique et des Libertés) prononce une amende administrative record cumulée de 100 millions d’euros à l’encontre du Groupe GOOGLE.
Les sanctions de 60 et 40 millions d’euros sont prononcées respectivement à l’encontre des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED, notamment pour le dépôt de cookies publicitaires depuis le moteur de recherche google.fr sans consentement préalable, ni information satisfaisante des internautes. Il est également reproché à GOOGLE d’avoir déployé un mécanisme d’opposition à ces cookies qui s’avérait partiellement défaillant.
Une sanction prononcée sur le fondement de la Directive e-Privacy
Réglementations régissant l’usage des cookies
Depuis 2002, l’utilisation de cookies est encadrée par la Directive 2002/58/CE (directive vie privée et communications électroniques) dite « ePrivacy ». La version initiale de cette Directive exigeait uniquement que l’utilisateur ait le « droit de refuser » le placement de cookies, après avoir reçu une information claire et complète, entre autres sur les finalités du traitement. Cette Directive a par la suite été modifiée par la Directive 2009/136/CE du Parlement européen et du Conseil qui a introduit la nécessité d’obtenir un consentement de l’internaute en amont de l’utilisation de cookies au sein de son article 5-3 :
Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
Les dispositions de cet article ont été transposées en droit français au sein de l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par l’Ordonnance n° 2018-1125 du 12 décembre 2018. À l’instar du texte européen, l’article de transposition nationale susmentionné prévoit très clairement la nécessité d’obtenir un « consentement » avant l’usage et/ou le dépôt de cookies sur le terminal d’un internaute.
Aux termes de l’article 16 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :
La formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi .
En vertu de l’article 16 de la loi informatique et libertés susmentionné, la Commission Nationale de l’Informatique et des Libertés s’est vue confier par le législateur français la tâche de veiller au respect de la loi informatique et libertés, contenant notamment en ses dispositions l’article 82 relatif aux « cookies », résultant de la transposition de la directive ePrivacy. C’est selon ce raisonnement que la CNIL est habilitée à contrôler GOOGLE sur la conformité de son dispositif de cookies.
Refus d’application du principe de « guichet unique » par la CNIL
Le mécanisme de « guichet unique » est une procédure prévue par le RGPD et visant à harmoniser au niveau européen les décisions des autorités de protection des données. Ce mécanisme concerne uniquement les traitements transfrontaliers.
Dans le cadre de cette affaire, GOOGLE souhaitait que ce mécanisme lui soit appliqué, ce que la CNIL a refusé.
Pour la formation restreinte de l’autorité de contrôle française, les faits contrôlés, relatifs au « stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur » relèvent de la directive ePrivacy et non du RGPD. Or, le RGPD est le seul de ces deux textes à prévoir un mécanisme de « guichet unique« .
Et quand bien même le traitement de données de cookies pourrait constituer un traitement de données à caractère personnel, qui entrerait alors à la fois dans le périmètre d’application du RGPD et de la directive ePrivacy, la formation restreinte de la CNIL rappelle que :
« Lorsqu’un traitement relève à la fois du champ d’application matériel de la directive ePrivacy et du champ d’application matériel du RGPD, il convient de se référer aux dispositions pertinentes des deux textes qui prévoient leur articulation »
Dès lors et conformément au considérant 173 du RGPD, le Règlement prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel soumis :
« À des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques » .
La directive ePrivacy prévoyant par ailleurs, pour les obligations spécifiques qu’elle comporte, son propre mécanisme de mise en œuvre et de contrôle de son application –ne prévoyant pas de dispositif de « guichet unique »–, c’est ce mécanisme qui doit être mis en œuvre, et non ceux prévus par le RGPD.
GOOGLE FRANCE n’est pas considéré comme responsable des traitements de cookies déposés via google.fr
Conformément à l’article 3 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la CNIL considère que les traitements de données à caractère personnel mis en œuvre dans le cadre d’opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search sont constitutifs de « traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement (…) sur le territoire français, que le traitement ait lieu ou non en France ».
Pour l’autorité française, ces traitements sont effectués dans le cadre des activités de la société GOOGLE FRANCE sur le territoire français. Dès lors, la loi française est applicable.
Pour autant, la CNIL considère que GOOGLE FRANCE n’est pas le responsable de ces traitements de données à caractère personnel. Ce sont les entités irlandaise, GOOGLE IRELAND LIMITED (GIL) et américaine, GOOGLE LLC (GLLC) qui sont considérées par la CNIL comme responsables conjoints du traitement.
Et ce alors même que GOOGLE soutenait que seul GOOGLE IRELAND LIMITED était responsable des traitements. Un contrat intra-groupe de sous-traitance avait même été signé entre GOOGLE IRELAND LIMITED (en sa qualité de responsable de traitement) et GOOGLE LLC (en sa qualité de sous-traitant).
La CNIL rappelle ainsi que la qualification juridique des parties en matière de traitement de données personnelles résulte d’une situation de fait, pouvant faire l’objet d’une requalification par une autorité de contrôle.
Pour parvenir à une telle qualification, la CNIL met en avant que selon ses analyses, les deux sociétés déterminent les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs de Google Search résidant en France. Elle constate notamment :
- que la société GOOGLE LLC conçoit et construit la technologie des produits GOOGLE en ce qui concerne les cookies déposés et lus lors de l’utilisation de Google Search ;
- que la société GOOGLE LLC est représentée dans les organes adoptant les décisions relatives au déploiement des produits GOOGLE au sein de l’Espace Économique Européen et en Suisse ; cette représentation ayant une influence significative sur les décisions prises ; et
- que le DPO de GOOGLE IRELAND ainsi que ses adjoints sont localisés aux Etats-Unis, afin d’être « au plus près des décideurs », indice du poids important que peut avoir GOOGLE LLC dans la détermination des choix opérés par les entités établies en Europe de la firme américaine.
Plusieurs manquements relatifs au dépôt et/ou à l’usage de cookies
Un dépôt de cookies publicitaires sans consentement préalable des internautes
Dans le cadre du contrôle mené le 16 mars 2020 par la CNIL auprès de GOOGLE, il a été constaté que 7 cookies étaient immédiatement déposés, lors de la visite d’un internaute sur le site web google.fr.
Parmi ces cookies, 4 poursuivaient une finalité publicitaire, alors qu’ils auraient dû être soumis au consentement préalable de l’internaute, en vertu des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Un mécanisme d’opposition aux cookies défaillant
La CNIL a par ailleurs constaté que le mécanisme d’opposition aux cookies mis en place par GOOGLE était partiellement défaillant : même en cas d’opposition aux « cookies publicitaires », un cookie publicitaire continuait d’être systématiquement lu par le serveur du domaine auquel est lié le cookie (par exemple google.com ou google.fr) lors de chaque nouvelle interaction par l’internaute avec le domaine concerné.
Des lacunes en matière d’information sur les cookies
Des manquements constatés à date du contrôle
Lors du contrôle opéré par la CNIL, en mars 2020, le site google.fr affichait à première visite d’un internaute une bannière informative comme suit :
Cette bannière, qui se contentait de fournir aux internautes un « Rappel concernant les règles de confidentialité de Google« , permettait à ces derniers d’accéder, en cliquant sur le bouton « Consulter maintenant » à de plus amples informations.
L’autorité de contrôle française constate, sans trop de difficultés, que la bannière de premier niveau ne permettait pas aux internautes, lors de leur arrivée sur google.fr, d’obtenir une information sur l’existence et l’utilisation de cookies. Or, il ressort des dispositions de l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés que les accès ou inscriptions de cookies dans le terminal d’un utilisateur ne peuvent avoir lieu qu’à la condition que ce dernier y ait consenti après avoir reçu une « information claire et complète relative aux finalités des cookies déposés et des moyens dont il dispose pour s’y opposer ».
En outre, la CNIL constate que le second niveau d’information, accessible après avoir cliqué sur le bouton « Consulter maintenant« , ne contenait aucun développement complémentaire dédié à l’usage des cookies et autres traceurs, « malgré une information générale relative aux données à caractère personnel traitées par les services Google« .
Des manquements qui perdurent malgré une série de modifications opérées par GOOGLE
La délibération de la CNIL fait état de modifications ayant été apportées par GOOGLE suite à l’engagement de la procédure de sanction de l’autorité française. Ces modifications ont abouti à la mise en production par GOOGLE d’un nouveau mécanisme d’information sur son moteur de recherche google.fr depuis le 10 septembre 2020, comme suit :
Bien que reconnaissant que la mise en production de cette nouvelle bannière informative « constitue une avancée indéniable par rapport aux précédents bandeaux d’information« , la formation restreinte de la Commission Nationale de l’Informatique et des Libertés considère que l’information délivrée par GOOGLE sur son moteur de recherche n’est toujours pas claire et complète au regard de ses obligations réglementaires, et ce pour plusieurs motifs :
- cette information ne renseigne pas l’utilisateur sur l’ensemble des finalités des cookies déposés ;
- l’exposé des différentes finalités mentionnées dans ce bandeau demeure trop général pour que les utilisateurs puissent comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés ; et
- l’information fournie est incomplète dès lors que les utilisateurs ne sont toujours pas renseignés sur leur possibilité de refuser ces cookies, ni sur les moyens mis à leur disposition pour cela.
Une amende record, assortie d’une injonction sous astreinte de mise en conformité
C’est une amende record que prononce la CNIL à l’encontre du groupe GOOGLE, d’un montant cumulé de 100M d’euros. Il s’agit de la sanction la plus élevée jamais prononcée par la CNIL depuis sa création en 1978. Cette amende est assortie d’une injonction de mise en conformité, sous astreinte de 100 000€ par jour de retard (montant le plus élevé pouvant être prononcé par la CNIL), à l’issue d’un délai de 3 mois à compter de la notification de la délibération.
La CNIL prononce des sanctions distinctes à l’encontre des deux responsables de traitement conjoints, justifiées notamment « au regard des responsabilités respectives des société » et « de leurs capacités financières » : GOOGLE LLC réalisant un chiffre d’affaire de 160 milliards de dollars en 2019, contre 38 milliards d’euros pour GOOGLE IRELAND LIMITED en 2018.
Ces sanctions sont prononcées en vertu des pouvoirs étant conférés à la CNIL par l’article 20 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :
« A l’exception des cas où le traitement est mis en œuvre par l’Etat, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 ».
C’est en vertu de ce même article que la CNIL a pris en compte différents critères tels que fixés par l’article 83 du RGPD pour parvenir à définir le niveau de ses amendes, dont notamment :
- le nombre très important de personnes concernées par ce manquement : le moteur de recherche google.fr occupant une part de marché supérieure à 90% en France ; et
- les « bénéfices considérables » tirés de ce manquement par GOOGLE.
Notons par ailleurs que la CNIL a refusé, malgré les demandes formulées par GOOGLE, que le critère du « degré de coopération » prévu à l’article 83 du RGPD soit dans le cas d’espèce considéré comme une circonstance atténuante à la caractérisation du manquement et puisse ainsi justifier une diminution significative du montant de la sanction globale. Pour la CNIL, la coopération dont a fait preuve GOOGLE est à peine conforme à ce qu’elle est en droit d’attendre d’un responsable de traitement. Elle rappelle à cet égard que la coopération avec l’autorité de contrôle constitue d’abord une obligation prévue par la loi. Notons d’ailleurs que GOOGLE a refusé de communiquer à la CNIL certains éléments financiers dans le cadre de son instruction.
Pour aller plus loin
- Délibération de la formation restreinte no SAN-2020-012 du 7 décembre 2020 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635706
- Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042388179
- Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042388197