Votre métier
icone de recherche
icone de recherche
logo
Accueil/ Actualités - La Quotidienne/ Affaires/ Informatique et libertés

Cookies : le Conseil d'Etat confirme la condamnation de Google par la Cnil

Le Conseil d’Etat confirme les condamnations infligées par la Cnil à Google pour manquement aux obligations en matière de recueil du consentement pour le dépôt de cookies.

CE 28-1-2022 n° 449209


quoti-20210608-conseil-etat-bp.jpg

©Gettyimages

On sait que l’utilisateur d’un site internet doit être informé de manière claire et complète par le responsable de traitement (ou son représentant) de la finalité de toute opération de recueil ou de dépôt d'informations stockées dans son terminal (cookies) et des moyens pour s'y opposer ; les accès aux informations stockées ou les inscriptions d’informations ne peuvent avoir lieu qu’à condition que l’utilisateur ait donné son consentement après avoir reçu cette information (Loi 78-17 du 6-1-1978 dite « Informatique et libertés » art. 82).

Se fondant sur un manquement à ces dispositions, la Cnil avait condamné Google à payer des amendes administratives d’un montant total de 100 millions d’euros (Délib. Cnil 7-12-2020 n° SAN-2020-012).

Le Conseil d’Etat vient de rejeter le recours en annulation formé par Google contre cette décision.

Compétence de la Cnil

Google soutenait d’abord que la Cnil était incompétente pour prononcer une telle sanction : s’agissant d’un traitement transfrontalier, et par application du mécanisme du « guichet unique » prévu par le RGPD (Règl. 2016/679 du 27-4-2016 art. 56), c’est l’autorité de contrôle de l’établissement du responsable du traitement qui aurait dû connaître du contrôle, en l’espèce, l’autorité irlandaise.

Le Conseil d’Etat rejette cet argument : la sanction prononcée par la Cnil contre Google est fondée sur des dispositions de la loi Informatique et libertés transposant la directive ePrivacy (Dir. 2002/58 du 12-7-2002 modifiée par Dir. 2009/136 du 25-11-2009), laquelle encadre notamment la pratique des cookies (qui visent toutes informations stockées ou consultées sur le terminal de l’utilisateur, lesquelles ne sont pas nécessairement des données personnelles). Or, les mesures de contrôle de ces dispositions relèvent non pas du mécanisme mis en place par le RGPD mais, par application de la directive ePrivacy, qui renvoie à la loi française le soin de déterminer l’autorité compétente pour ce contrôle, de la Cnil (Dir. ePrivacy art. 15 bis ; Loi du 6-1-1978 art. 16).  

Par suite, l’autorité de contrôle française était compétente.

Manquements reprochés à Google

Le Conseil d’Etat juge ensuite que les faits suivants caractérisaient une absence d'information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d'opposition aux cookies, tels que prévus par l'article 82 de la loi du 6 janvier 1978 : 7 cookies étaient automatiquement installés sur les ordinateurs des utilisateurs dès leur arrivée sur le site, dont 4 qui n’avaient qu’une finalité publicitaire ; lors de l'arrivée sur la page « google.fr » , un bandeau d'information s'affichait en pied de page, contenant la mention « Rappel concernant les règles de confidentialité de Google » , en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant » . En cliquant sur le bouton « Consulter maintenant » , l'utilisateur n'était pas informé des règles de confidentialité applicables aux cookies, ni de la possibilité de refuser qu'ils soient implantés sur son terminal. Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l'un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton « autres options » .

Google a certes mis à jour son système après l’introduction de la procédure de sanction, de sorte que, depuis le 10 septembre 2020, l'utilisateur arrivant sur la page « google.fr » voit désormais s'afficher, au milieu de son écran avant de pouvoir accéder au moteur de recherche, une fenêtre surgissante intitulée « Avant de continuer » , qui contient une information préalable sur l'utilisation de cookies par Google et comporte deux boutons intitulés « Plus d'informations » et « J'accepte » .

Toutefois, les indications ainsi fournies n'informent pas directement et explicitement l'utilisateur sur les finalités des cookies et les moyens de s'y opposer.

Par ailleurs, si depuis la mise à jour il n'est plus procédé au dépôt automatique de cookies publicitaires dès l'arrivée de l'utilisateur sur la page « google.fr », au moins un cookie ne relevant pas de la catégorie des cookies dits «  d'opposition » demeure stocké sur le terminal de l'utilisateur ayant désactivé la personnalisation des annonces.

Montant de la sanction

Google invoquait enfin le caractère disproportionné des sanctions prononcées. Sous cet angle encore le Conseil d’Etat écarte le recours :

- les amendes n’excédaient pas les plafonds fixés par la loi (le montant le plus élevé entre les deux montants suivants : 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent ; le double, dans certaines hypothèses, notamment lorsqu’il existe un manquement aux principes de base d’un traitement de données personnelles) (Loi du 6-1-1978 art. 20) ;

-  pour fixer le montant de la sanction, la Cnil avait tenu compte des éléments suivants :  la part de marché supérieure à 90 % représentée par le moteur de recherche Google, les bénéfices particulièrement importants produits par le segment de la publicité ciblée en ligne permise par les données collectées par le recours aux cookies et le fait que les mises à jour opérées à la suite de l’engagement de la procédure de sanction ne pouvaient pas être regardées comme une véritable coopération avec l'autorité de contrôle en l'absence persistante, en particulier, de communication à cette dernière des revenus publicitaires des sociétés Google en France. 

N'est pas non plus considéré comme excessif par le Conseil d’Etat le montant de l’astreinte de 100 000 euros par jour de retard prononcé par la Cnil, là encore inférieur au plafond légal (Loi de 1978 art. 20 précité) ; l’astreinte avait d’ailleurs été levée le 30 avril 2021 pour tenir compte des évolutions proposées par Google.

Enfin, la Cnil avait pu décider de rendre publique sa décision et de procéder à son anonymisation à l’issue d’un délai de deux ans, compte tenu de la gravité du manquement en cause et du grand nombre d'utilisateurs concernés.

© Editions Francis Lefebvre - La Quotidienne