Cookies : La Cnil sanctionne Google et Facebook

Refuser les cookies ou les accepter : même degré de simplicité

Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED

Après avoir reçu plusieurs plaintes dénonçant les modalités de refus des cookies sur les sites web google.fr et youtube.com, la Présidente de la CNIL, a décidé un contrôle en ligne sur les sites” google.fr ” et ” youtube.com ” (décision no 2021-108C du 20 mai 2021 de la présidente de la Commission nationale de l’informatique et des libertés). La Cnil a constaté une différence de traitement entre l’acceptation des cookies et leur refus. Alors que l’acceptation du dépôt de cookies dans le terminal de l’utilisateur du site nécessite un acte unique simple à mettre en oeuvre, l’utilisateur doit effectuer plusieurs clics pour refuser les cookies. Cette différence de traitement est de nature à dissuader l’utilisateur de choisir le refus. L’enjeu économique pour Google est important puisque les bénéfices générés par les revenus publicitaires sont fondés sur une exploitation des données collectées par les cookies. Dans sa délibération du 31 décembre 2021 (SAN-2021-023), la formation restreinte a considéré que la complexité de la procédure de refus du dépôt des cookies dans le terminal de l’utilisateur des sites Google.fr et youtube.com, par opposition à la facilité de l’acceptation, porte atteinte à la liberté du consentement de l’internaute et constitue dès lors une violation de l’article 82 de la loi informatique et libertés (loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ci-après LIL).

Dans sa délibération du 31 décembre 2021, la formation restreinte rappelle l’articulation entre l’article 82 de la LIL, qui transpose l’article 5 paragraphe 3 de la directive 2002/58/CE (directive e-privacy) et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD).

Etapes 1 : Les opérations de dépôt, lecture et/ou écriture des cookies dans le terminal de l’internaute dans le terminal de l’utilisateur des sites Google search et Youtube; Régime juridique directive e-privacy (directive 2002/58/CE) transposée par l’article 82 LIL ; Consentement art 5.3.1 de la directive e-Privacy (art 82 LIL)

Etape 2 : Traitements subséquents (dits également ” ultérieurs “) : utilisation des données collectées via les cookies : Régime juridique : RGPD (mécanisme de guichet unique dans l’hypothèse où les traitements seraient transfrontaliers)Consentement art 6.1 a)

Compétence de la Cnil

Compétence matérielle

La compétence de la Cnil est fondée sur l’obligation légale de l’article 5, paragraphe 3 de la directive ” ePrivacy ” (directive 2002/58/CE), aux termes duquel, il est précisé que les opérations de lecture et/ou d’écriture doivent systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information. Cette obligation de consentement préalable, pour procéder à des opérations de lecture et/ou d’écriture sur le terminal d’un internaute, constitue une règle spéciale (article 5, paragraphe 3 de la directive e-Privacy transposé en droit français à l’article 82 de la LIL). Le contrôle et les sanctions en cas de manquement des dispositions de la LIL sont fondés sur l’article 20 de cette loi.

L’Article 20 de la LIL confie [au] président [de la CNIL] le pouvoir de prendre les mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d’être prononcées ” (CE, 19 juin 2020, req. 434684, pt. 3). En effet, la réglementation spéciale écarte l’application du RGPD. Le considérant 173 du RGPD prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel ” soumis à des obligations spécifiques ayant le même objectif [de protection des libertés et droits fondamentaux] énoncées dans la directive 2002/58/CE, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques “. Cette articulation entre RGPD et loi spéciale, a été confirmée par la CJUE dans sa décision Planet du 1er octobre 2019 (CJUE, 1er octobre 2019, C 673/17, pt. 42). Dès lors le mécanisme de « guichet unique », relevant des dispositions du RGPD ne trouve pas lieu à s’appliquer à des faits relevant matériellement de la directive e-Privacy. (CEPD, avis 5/2019 relatif aux interactions entre la directive ” vie privée et communications électroniques ” et le RGPD, 12 mars 2019, pt. 80)). La CJUE a confirmé l’exclusion du champ d’application du mécanisme de guichet unique du RGPD pour les faits régis par la directive e-Privacy dans son arrêt Facebook Belgium rendu le 15 juin 2021, reprenant l’avis 5/2019 du CEPD (CJUE, conclusions de l’avocat général M. BOBEK, 13 janvier 2021, Facebook Belgium, C 645/19, pts. 37 et 38). Il en résulte que la CNIL est compétente pour contrôler et sanctionner les traitements consistant en des opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs situés en France mis en œuvre par les sociétés relevant du champ d’application de la directive ” ePrivacy “, sous réserve qu’ils se rattachent à sa compétence territoriale.

Compétence territoriale

1-Traitements subséquents relevant du RGPD :

Traitement de données à caractère personnel effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre

1.1/ Cas de la responsabilité effective du traitement relevant d’une société installée dans un Etat tiers (hors UE) :

CJUE : arrêt du 13 mai 2021 Google Spain (C-313/12) :

Dans son arrêt du 13 mai 2014 Google Spain, C-313/12, la CJUE a précisé que : ” l’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre ” (pt. 60).

1.2/ Cas de la responsabilité effective du traitement relevant d’une société installée dans un autre Etat membre

Arrêt du 5 juin 2018, Wirtschaftsakademie, C-210/16, et arrêt du 15 juin 2021, Facebook Belgium (C-645/19)

Dans ses arrêts du 5 juin 2018, Wirtschaftsakademie, C-210/16, et du 15 juin 2021, Facebook Belgium (C-645/19), la CJUE a étendu la solution de l’arrêt Google Spain au cas où la responsabilité effective du traitement relève d’une société installée dans un autre pays de l’Union européenne (Facebook Germany et Facebook Belgium). cette jurisprudence, concerne les traitements subséquents, demeure pertinente pour éclairer la portée à donner à la notion de traitement effectué ” dans le cadre des activités ” d’un établissement, dans la mesure où le législateur français l’a reprise lors de la transposition de la directive ” ePrivacy ” pour fonder la compétence territoriale de la CNIL s’agissant des traitements relevant de cette directive.

2- Traitements relevant de l’article 82 de LIL :

Cas de la responsabilité effective du traitement relevant d’une société installée dans un autre Etat membre

Rôle de la filiale Google France de Google LLC

Pour la formation restreinte, la société GOOGLE FRANCE participe de manière effective à la promotion des produits et services conçus et développés par la société GOOGLE LLC, tels que Google Search, en France, ainsi qu’aux activités publicitaires gérées par la société GIL ” (délibération n°SAN-2020-012 du 7 décembre 2020 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED, pt. 42).

Procédure de sanction

La présidente de la CNIL peut directement engager une procédure de sanction à l’encontre d’un responsable de traitement, sans lui adresser, au préalable, une mise en demeure. La possibilité d’engager directement une procédure de sanction a été confirmée par le Conseil d’État (CE, 4 nov. 2020, req. n° 433311, pt. 3).

Consentement cookies

Le consentement de l’article 5, paragraphe 3, de la directive ” ePrivacy “, transposé à l’article 82 de LIL, est un consentement spécifique, différent du consentement prévu par le RGPD. Cependant, ce consentement d’un utilisateur prévu par la e-Privacy correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD. Ce consentement a été interprété par la CJUE, dans son arrêt du 13 octobre 2019, C-673/17. Ainsi, le consentement de l’article 82 LIL doit être libre, éclairé, spécifique, explicite et non univoque (article 4, paragraphe 11 du RGPD).

Pour accepter les cookies, l’utilisateur de google.fr ou youTube.com doit cliquer sur un seul bouton. En revanche, pour refuser les cookies, il doit effectuer au moins cinq actions (le premier clic sur le bouton ” Personnaliser “, puis un clic sur chacun des trois boutons pour sélectionner ” Désactivé ” – chaque bouton correspondant à la ” personnalisation de la recherche “, l’” historique YouTube ” et la ” personnalisation des annonces ” – et enfin un clic sur ” Confirmer “).

Cette différence de traitement est contraire à la règle selon laquelle il doit être aussi facile de refuser des opérations de lecture et/ou d’écriture que de les accepter. Dans sa Recommendation du 17 septembre 2020, la Cnil a précisé que ” le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité “. Cette obligation d’égalité de traitement pour l’acceptation et le refus d’un cookie, a été confirmée par le Conseil d’Etat (CE, 19 juin 2020, n° 434684, T., pt 15).

En l’espèce, la formation restreinte a considéré que le mécanisme de refus des cookies fondé sur au moins 5 actions, revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton ” Tout accepter “. Les modalités de refus des cookies mises en œuvre par les sociétés GOOGLE LLC et Google Ireland Limited sur les sites ” google.fr ” et ” youtube.com ” ne sont pas conformes aux dispositions de l’article 82 de la loi ” Informatique et Libertés ” telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD.

Co-responsabilité GOOGLE LLC et GOOGLE IRELAND LIMITED (GIL)

La formation restreinte a considéré que les sociétés GOOGLE LLC et GIL déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search et du site youtube.com.

Sanctions :

La formation restreinte a fait application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la nature, de la portée du traitement et du nombre de personnes concernées par ce dernier ; et la formation restreinte estime qu’une amende de 90 millions euros à l’encontre de la société GOOGLE LLC et une amende de 60 millions euros à l’encontre de la société GIL apparaissent justifiées.

En complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés mettent à disposition des internautes situés en France, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.