Posted by 
Fiche décrypage sur l’information et le consentement pour les cookies à finalité publicitaire
Traitement : opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search
Réglementation sur les cookies
La CNIL a adopté plusieurs instruments juridiques de droit souple détaillant les obligations des responsables de traitement en matière de traceurs dont, notamment, une recommandation du 5 décembre 2013 ainsi que des lignes directrices du 4 juillet 2019, en vigueur à la date du contrôle en ligne.
GOOGLE LLC : Délibération SAN-2020-012 du 7 décembre 2020
La Cnil a condamné la pratique de Google Irland Limited et Google LLC visant à déposer des cookies à dees fins publicitaires sur les terminaux des utilisateurs de google.fr sans les informer préalablement, recueillir leur consentement, conformément aux exigences de l’article 82 LIL.
Sur la compétence matérielle de la Cnil
Sur la compétence territoriale de la Cnil
La directive 2002/58/CE modifiée (directive e-privacy) complète la directive 95/46/CE, qui renvoie à son art 4. Ce dernier prévoit l’application des dispositions nationales. Le règlement e-Privacy étant toujours en discussion, la directive reste applicable et donc le droit national transposant la directive. La société Google France, filiale de la société GOOGLE LLC, est chargée d’assurer la promotion de la publicité en ligne en France pour le compte de la société GOOGLE IRELAND LIMITED (GIL).
Le mécanisme du guichet unique du RGPD n’est pas applicable. L’Article 3 LIL : le recours à des cookies à des fins publicitaires est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.
Sous-traitance ou Co-responsabilité
La Cnil a requalifié Google LLC, qualifiée initialement de sous-traitant, en responsable de traitement en précisant le niveau réel d’autonomie de GIL, dans la détermination des finalités et des moyens. La Cnil a considéré que la Société Google LLC a une implication réelle dans le traitement au-delà d’une sous-traitance agissant pour le compte de la société GIL et sur ses seules instructions.
Les sociétés GOOGLE LLC et GIL déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search
Manquement aux obligations en matière de cookies
En l’espèce, dès l’arrivée de l’utilisateur sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient déposés sur son terminal avant toute action de sa part.
Aux termes de l’article 82 de la loi informatique et libertés, les accès ou inscriptions [de cookies] ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Seuls les cookies ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou ceux strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, sont exonérés de cette obligation. Pour tous les autres cookies et notamment les cookies publicitaires, le RT doit respecter les obligations de l’article 82 LIL : procédure d’OPT-IN.
Précisions sur l’information sur les cookies à délivrer par le RT aux utilisateurs :
La Cnil a considéré que : i) le simple renvoi aux règles de confidentialité sur le bandeau d’information, ii) l’architecture informationnelle reposant sur une fenêtre surgissante imposant le défiler de tout le contenu et nécessitant de cliquer sur le bouton Autres options (bas de la fenêtre), ne permettait pas aux utilisateurs résidant en France, lors de leur arrivée sur le moteur de recherche Google Search, d’être préalablement et clairement renseignés sur l’existence d’opérations permettant l’accès et l’inscription d’informations contenues dans leur terminal ni, par conséquent, de la finalité de celles-ci et des moyens mis à leur disposition quant à la possibilité de les refuser.
Le RT doit délivrer 3 informations pour satisfaire l’obligation d’information claire et précise, préalable au recueil de consentement
En l’espèce, les sociétés avaient adopté des mesures, depuis l’engagement de la procédure de sanction, renseignent sur la première catégorie d’information (existence de cookies), mais non sur les deux autres catégories d’information. La Cnil considère qu’une information trop générale ne permet pas à l’utilisateur de comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés sur leur terminal En l’espèce, les informations figurant sur le bandeau ne permettaient pas aux utilisateurs de comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés sur leur terminal. L’utilisateur n’est notamment pas en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement – par exemple, s’il s’agit de publicité géolocalisée -, la nature exacte des services Google qui recourent à la personnalisation ni le fait que cette personnalisation opère entre ces différents services. Par ailleurs, les utilisateurs n’étaient toujours pas renseignés sur leur possibilité de refuser ces cookies, ni sur les moyens mis à leur disposition pour cela. La Cnil a considéré que les termes « options ou Plus d’informations » ne sont pas assez explicites pour permettre aux utilisateurs de comprendre directement l’étendue de leurs droits à l’égard des cookies déposés sur leur terminal.
Défaillance du mécanisme d’opposition (opt-out)
Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur du domaine auquel est lié le cookies (google.com, google.fr) avec chaque interaction avec le domaine concerné. La Cnil a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés. Les sociétés ont méconnu l’obligation prévue par l’article 82 de la loi informatique et libertés de mettre en place un mécanisme effectif permettant aux utilisateurs de refuser ou de ne plus lire les cookies nécessitant leur consentement (opt-out).
Amende effectives, proportionnées et dissuasives (art 83 RGPD)
Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :
Engagement d’une procédure directe de sanction
Conformément à l’article 20 de la loi informatique et libertés , la présidente de la CNIL n’est pas tenue d’adresser une mise en demeure à un responsable de traitement avant d’engager une procédure de sanction à son encontre. (CE, 4 nov. 2020, req. n° 433311, pt. 3).
AMAZON : Délibération SAN-2020-013 du 7 décembre 2020
Dans une affaire similaire, la Cnil a également sanctionné AMAZON pour ses pratiques de dépôt automatique de cookies à des fins publicitaires dès qu’un utilisateur accédait à n’importe quelle page du site amazon.fr, sans intervention de sa part et sans l’avoir au préalable informé et recueilli son consentement.
Violation des dispositions de l’article 82 LIL
La formation restreinte de la Cnil (ci-après la Cnil) a relevé que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire était déposé sur son ordinateur, sans aucune action de sa part, sans être informé de manière claire et précise au préalable de l’existence de cookies et de la possibilité de s’y opposer et sans avoir consenti à leur dépôt. Le bandeau d’information affiché en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble cookies déposés. La Cnil considère que la formulation « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services» ne permet pas à l’utilisateur de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement. En outre, le bandeau d’information ne fait pas non plus état des moyens dont dispose l’internaute pour refuser l’inscription de cookies.
Enfin, le caractère préalable de l’information n’est pas satisfait dès lors que les cookies sont déposés dès l’accès au site, sans que l’internaute ait eu le temps d’accéder aux liens cookies présents en pied de page renvoyant vers une page d’informations (article 82 LIL). De même, le paramétrage de navigateur peut dans certains cas constituer un mécanisme valable de recueil du consentement, si l’utilisateur a été préalablement informé qu’il dispose de cette possibilité. La Cnil a considéré que le dépôt de cookies lors de la première arrivée de l’internaute sur le site Amazon.fr et cela quel que soit la première page accédée préalablement à toute information et sans aucune action de la part de l’utilisateur était une pratique incompatible avec les dispositions de l’article 82 de la loi informatique et liberté (LIL).
Sanction
La Cnil a prononcé une amende administrative à hauteur de 35 millions d’euros (2% du CA).Compte tenu que la société au jour de la clôture de l’instruction, le bandeau d’information ne permettait toujours pas aux internautes de comprendre précisément certaines des finalités poursuivies par le dépôt de cookies, et notamment les finalités publicitaires, la Cnil a prononcé une injonction de mettre en conformité le traitement assortie d’une astreinte de 100.000 euros par jour de retard à compter de la notification de la décision.