Google Le Conseil d’État donne raison à la CNIL

Les faits en cause

Le 7 décembre 2020[1], la formation restreinte de la CNIL a infligé une sanction de 100 millions d’euros à Google LLC et à Google Ireland Limited. En cause, trois violations de l’article 82 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (transposant la directive européenne e-privacy de 2002) : un dépôt de cookies à finalité publicitaire sans le consentement des internautes, un bandeau de pied de page n’informant pas suffisamment l’internaute sur le dépôt de cookies, le maintien d’un cookie publicitaire, malgré la désactivation par l’internaute de la personnalisation des recherches. Les deux sociétés en cause ont saisi le Conseil d’État, juge du contentieux des décisions de la CNIL.

Le 28 janvier 2022, le Conseil d’État a donné raison à la CNIL et confirmé les sanctions de 60 et de 40 millions d’euros prononcées contre l’entreprise mère et sa filiale.

La compétence de la CNIL

Le Conseil d’État s’est d’abord prononcé sur la compétence de la CNIL au regard des règles fixant un « guichet unique », issues du RGPD. En effet, les sociétés requérantes contestaient la légalité de l’intervention de la CNIL en invoquant les dispositions de l’article 56 du RGPD qui porte sur les traitements transfrontaliers de données à caractère personnel. Google considérait que l’autorité nationale de contrôle irlandaise était compétente en qualité d’autorité « chef de file ». Cette contestation de la compétence de la CNIL est écartée. En effet, le mécanisme du « guichet unique », prévu à l’article 56 du RGPD, n’est pas applicable aux mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 du Parlement européen et du Conseil relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques[2] (directive e-privacy, vie privée et communications électroniques). Cette directive dispose que « les États membres déterminent le régime des sanctions, y compris des sanctions pénales s’il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive ».

Une procédure respectant les règles du contradictoire

La question de la compétence étant tranchée, le Conseil d’État examine la procédure. La procédure suivie par la CNIL est contestée par les sociétés requérantes au prétexte que l’autorité de contrôle aurait méconnu les droits de la défense et les exigences de contradiction en l’absence d’une mise en demeure préalable. Le Conseil d’État, outre le fait qu’une sanction n’exige pas de mise en demeure préalable, rappelle les différentes étapes de la procédure à compter du contrôle en ligne sur le site Internet « google.fr », effectué le 16 mars 2020, depuis les locaux de la CNIL, en consultant les données librement accessibles ou rendues accessibles directement en ligne. Plusieurs échanges ont eu lieu jusqu’à la séance de la formation restreinte du 2 décembre 2020. En conséquence, le Conseil d’État écarte le moyen soulevé.

Des fautes établies malgré des corrections

Lors du contrôle en ligne, la CNIL a constaté que sept cookies sont automatiquement déposés sans action particulière de la part de l’internaute, lequel n’est pas informé des règles de confidentialité et des possibilités qu’il a de refuser leur implantation. Quatre de ces cookies poursuivaient une finalité publicitaire étrangère au besoin de permettre ou de faciliter la communication par voie électronique.

Les modifications apportées, en août 2020, postérieurement à l’ouverture de la procédure de sanction, n’informent pas directement et explicitement l’internaute des finalités des cookies et des moyens de s’y opposer. Or, les dispositions de l’article 82 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, transposant la directive e-privacy, imposent une information claire et complète de l’internaute des cookies et traceurs implantés sur son terminal. La portée de ces dispositions n’a pas été modifiée par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD. Google a donc contrevenu, même après corrections, aux dispositions de la loi précitée.

Une sanction proportionnée à la gravité des faits

S’agissant du montant de la sanction, le Conseil d’État rappelle qu’une amende administrative pouvant atteindre 2% du chiffre d’affaires annuel mondial de l’exercice précédent peut être prononcée par la CNIL. Cette amende doit être effective, proportionnée et dissuasive. La CNIL, pour fixer le montant de la sanction, a tenu compte de la part de marché de Google, supérieure à 90%, et de ses 47 millions d’utilisateurs en France, dont la société tire d’importants bénéfices grâce aux cookies. La CNIL n’a pas excédé le montant du plafond légal et a, à juste titre, écarté l’atténuation résultant d’une coopération avec l’autorité de contrôle, notamment en raison du refus par Google de communiquer le montant de ses revenus publicitaires en France.

Le Conseil d’État considère donc que le montant de la sanction n’est pas disproportionné, notamment au regard des capacités financières respectives de Google LLC et de Google Ireland et des bénéfices importants tirés des bénéfices publicitaires. Il valide également le montant de l’astreinte fixée à 100.000 euros par jour ainsi que la publication de la délibération de la CNIL, compte tenu de la gravité des faits reprochés.

On notera que la CNIL, par délibération de la formation restreinte du 31 décembre 2021[3], a prononcé à l’encontre des sociétés Google LLC et Google Ireland Limited une nouvelle amende administrative respective d’un montant de 90 millions et de 60 millions d’euros pour manquement à l’article 82 de la loi » Informatique et Libertés « .

Le même jour, la CNIL a infligé une amende administrative de 60 millions d’euros à Facebook Ireland Limited pour les mêmes motifs[4].