[Brèves] Cookies : sanction de 60 millions d’euros à l’encontre de Google LLC et de 40 millions d’euros à l’encontre de Google Ireland Limited

► Dans sa délibération en date du 7 décembre 2020, la formation restreinte de la CNIL a sanctionné la société Google LLC d’une amende de 60 millions d’euros et la société Google Ireland Limited d’une amende de 40 millions d’euros, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche « google.fr » sans consentement préalable ni information satisfaisante ; elle a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS) dans un délai de 3 mois à compter de la notification de la décision.

Contexte. Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web « google.fr » qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

Les manquements à la loi Informatique et Libertés. La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi précitée :

• Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Lorsqu’un utilisateur se rendait sur la page « google.fr », plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

• Un défaut d’information des utilisateurs du moteur de recherche « google.fr »

Lorsqu’un utilisateur se rendait sur la page « google.fr », un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.

• La défaillance partielle du mécanisme « d’opposition »

Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi précitée.

La sanction prononcée par la formation restreinte. La formation restreinte a sanctionné la société Google LLC d’une amende de 60 millions d’euros et la société Google Ireland Limited d’une amende de 40 millions d’euros, rendues publiques.

La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés.

Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs.

Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page « google.fr ».

Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page « google.fr » ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi précitée dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

Une compétence de la CNIL. Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération (mécanisme de « guichet unique ») prévu par le « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy » (Directive (CE) n° 2002/58 du Parlement européen et du Conseil du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques N° Lexbase : L6515A43), transposée à l’article 82 de la loi Informatique et Libertés.

Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi précitée car le recours à des cookies est effectué dans le « cadre des activités » de la société Google France qui constitue « l’établissement » sur le territoire français des sociétés Google LLC et Google Ireland Limited et y assure la promotion de leurs produits et services.

Elle a également estimé que les sociétés Google LLC et Google Ireland Limited sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

L’articulation de la sanction avec les travaux de la CNIL sur les cookies. Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du « RGPD », la CNIL a publié le 1^er octobre 2020 ses lignes directrices modificatives (CNIL, délibération n° 2020-091, 17 septembre 2020 N° Lexbase : X0891CK9) ainsi qu’une recommandation (CNIL, délibération n° 2020-092, 17 septembre 2020 N° Lexbase : X0892CKA) portant sur l’usage de cookies et autres traceurs (CNIL, communiqué de presse, 1^er octobre 2020 ; lire N° Lexbase : N4740BY9), la CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

À cette occasion, elle avait néanmoins précisé qu’elle continuerait à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes. 

Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au « RGPD » et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1^er octobre 2020.

© Reproduction interdite, sauf autorisation écrite préalable