Refuser les cookies ou les accepter : même degré de simplicité

Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED
Après avoir reçu plusieurs plaintes dénonçant les modalités de refus des cookies sur les sites web google.fr et youtube.com, la Présidente de la CNIL, a décidé un contrôle en ligne sur les sites” google.fr ” et ” youtube.com ” (décision no 2021-108C du 20 mai 2021 de la présidente de la Commission nationale de l’informatique et des libertés). La Cnil a constaté une différence de traitement entre l’acceptation des cookies et leur refus. Alors que l’acceptation du dépôt de cookies dans le terminal de l’utilisateur du site nécessite un acte unique simple à mettre en oeuvre, l’utilisateur doit effectuer plusieurs clics pour refuser les cookies. Cette différence de traitement est de nature à dissuader l’utilisateur de choisir le refus. L’enjeu économique pour Google est important puisque les bénéfices générés par les revenus publicitaires sont fondés sur une exploitation des données collectées par les cookies. Dans sa délibération du 31 décembre 2021 (SAN-2021-023), la formation restreinte a considéré que la complexité de la procédure de refus du dépôt des cookies dans le terminal de l’utilisateur des sites Google.fr et youtube.com, par opposition à la facilité de l’acceptation, porte atteinte à la liberté du consentement de l’internaute et constitue dès lors une violation de l’article 82 de la loi informatique et libertés (loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ci-après LIL).
Dans sa délibération du 31 décembre 2021, la formation restreinte rappelle l’articulation entre l’article 82 de la LIL, qui transpose l’article 5 paragraphe 3 de la directive 2002/58/CE (directive e-privacy) et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD).
Etapes 1 : Les opérations de dépôt, lecture et/ou écriture des cookies dans le terminal de l’internaute dans le terminal de l’utilisateur des sites Google search et Youtube; Régime juridique directive e-privacy (directive 2002/58/CE) transposée par l’article 82 LIL ; Consentement art 5.3.1 de la directive e-Privacy (art 82 LIL)
Etape 2 : Traitements subséquents (dits également ” ultérieurs “) : utilisation des données collectées via les cookies : Régime juridique : RGPD (mécanisme de guichet unique dans l’hypothèse où les traitements seraient transfrontaliers)Consentement art 6.1 a)
Compétence de la Cnil
Compétence matérielle
La compétence de la Cnil est fondée sur l’obligation légale de l’article 5, paragraphe 3 de la directive ” ePrivacy ” (directive 2002/58/CE), aux termes duquel, il est précisé que les opérations de lecture et/ou d’écriture doivent systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information. Cette obligation de consentement préalable, pour procéder à des opérations de lecture et/ou d’écriture sur le terminal d’un internaute, constitue une règle spéciale (article 5, paragraphe 3 de la directive e-Privacy transposé en droit français à l’article 82 de la LIL). Le contrôle et les sanctions en cas de manquement des dispositions de la LIL sont fondés sur l’article 20 de cette loi.
L’Article 20 de la LIL confie [au] président [de la CNIL] le pouvoir de prendre les mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d’être prononcées ” (CE, 19 juin 2020, req. 434684, pt. 3). En effet, la réglementation spéciale écarte l’application du RGPD. Le considérant 173 du RGPD prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel ” soumis à des obligations spécifiques ayant le même objectif [de protection des libertés et droits fondamentaux] énoncées dans la directive 2002/58/CE, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques “. Cette articulation entre RGPD et loi spéciale, a été confirmée par la CJUE dans sa décision Planet du 1er octobre 2019 (CJUE, 1er octobre 2019, C 673/17, pt. 42). Dès lors le mécanisme de « guichet unique », relevant des dispositions du RGPD ne trouve pas lieu à s’appliquer à des faits relevant matériellement de la directive e-Privacy. (CEPD, avis 5/2019 relatif aux interactions entre la directive ” vie privée et communications électroniques ” et le RGPD, 12 mars 2019, pt. 80)). La CJUE a confirmé l’exclusion du champ d’application du mécanisme de guichet unique du RGPD pour les faits régis par la directive e-Privacy dans son arrêt Facebook Belgium rendu le 15 juin 2021, reprenant l’avis 5/2019 du CEPD (CJUE, conclusions de l’avocat général M. BOBEK, 13 janvier 2021, Facebook Belgium, C 645/19, pts. 37 et 38). Il en résulte que la CNIL est compétente pour contrôler et sanctionner les traitements consistant en des opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs situés en France mis en œuvre par les sociétés relevant du champ d’application de la directive ” ePrivacy “, sous réserve qu’ils se rattachent à sa compétence territoriale.
Compétence territoriale
1-Traitements subséquents relevant du RGPD :
Traitement de données à caractère personnel effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre
1.1/ Cas de la responsabilité effective du traitement relevant d’une société installée dans un Etat tiers (hors UE) :
CJUE : arrêt du 13 mai 2021 Google Spain (C-313/12) :

Dans son arrêt du 13 mai 2014 Google Spain, C-313/12, la CJUE a précisé que : ” l’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre ” (pt. 60).
1.2/ Cas de la responsabilité effective du traitement relevant d’une société installée dans un autre Etat membre
Arrêt du 5 juin 2018, Wirtschaftsakademie, C-210/16, et arrêt du 15 juin 2021, Facebook Belgium (C-645/19)
Dans ses arrêts du 5 juin 2018, Wirtschaftsakademie, C-210/16, et du 15 juin 2021, Facebook Belgium (C-645/19), la CJUE a étendu la solution de l’arrêt Google Spain au cas où la responsabilité effective du traitement relève d’une société installée dans un autre pays de l’Union européenne (Facebook Germany et Facebook Belgium). cette jurisprudence, concerne les traitements subséquents, demeure pertinente pour éclairer la portée à donner à la notion de traitement effectué ” dans le cadre des activités ” d’un établissement, dans la mesure où le législateur français l’a reprise lors de la transposition de la directive ” ePrivacy ” pour fonder la compétence territoriale de la CNIL s’agissant des traitements relevant de cette directive.
2- Traitements relevant de l’article 82 de LIL :
Cas de la responsabilité effective du traitement relevant d’une société installée dans un autre Etat membre
Rôle de la filiale Google France de Google LLC
Pour la formation restreinte, la société GOOGLE FRANCE participe de manière effective à la promotion des produits et services conçus et développés par la société GOOGLE LLC, tels que Google Search, en France, ainsi qu’aux activités publicitaires gérées par la société GIL ” (délibération n°SAN-2020-012 du 7 décembre 2020 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED, pt. 42).

Procédure de sanction
La présidente de la CNIL peut directement engager une procédure de sanction à l’encontre d’un responsable de traitement, sans lui adresser, au préalable, une mise en demeure. La possibilité d’engager directement une procédure de sanction a été confirmée par le Conseil d’État (CE, 4 nov. 2020, req. n° 433311, pt. 3).
Consentement cookies
Le consentement de l’article 5, paragraphe 3, de la directive ” ePrivacy “, transposé à l’article 82 de LIL, est un consentement spécifique, différent du consentement prévu par le RGPD. Cependant, ce consentement d’un utilisateur prévu par la e-Privacy correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD. Ce consentement a été interprété par la CJUE, dans son arrêt du 13 octobre 2019, C-673/17. Ainsi, le consentement de l’article 82 LIL doit être libre, éclairé, spécifique, explicite et non univoque (article 4, paragraphe 11 du RGPD).
Pour accepter les cookies, l’utilisateur de google.fr ou youTube.com doit cliquer sur un seul bouton. En revanche, pour refuser les cookies, il doit effectuer au moins cinq actions (le premier clic sur le bouton ” Personnaliser “, puis un clic sur chacun des trois boutons pour sélectionner ” Désactivé ” – chaque bouton correspondant à la ” personnalisation de la recherche “, l’” historique YouTube ” et la ” personnalisation des annonces ” – et enfin un clic sur ” Confirmer “).
Cette différence de traitement est contraire à la règle selon laquelle il doit être aussi facile de refuser des opérations de lecture et/ou d’écriture que de les accepter. Dans sa Recommendation du 17 septembre 2020, la Cnil a précisé que ” le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité “. Cette obligation d’égalité de traitement pour l’acceptation et le refus d’un cookie, a été confirmée par le Conseil d’Etat (CE, 19 juin 2020, n° 434684, T., pt 15).
En l’espèce, la formation restreinte a considéré que le mécanisme de refus des cookies fondé sur au moins 5 actions, revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton ” Tout accepter “. Les modalités de refus des cookies mises en œuvre par les sociétés GOOGLE LLC et Google Ireland Limited sur les sites ” google.fr ” et ” youtube.com ” ne sont pas conformes aux dispositions de l’article 82 de la loi ” Informatique et Libertés ” telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD.
Co-responsabilité GOOGLE LLC et GOOGLE IRELAND LIMITED (GIL)
La formation restreinte a considéré que les sociétés GOOGLE LLC et GIL déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search et du site youtube.com.

Sanctions :
La formation restreinte a fait application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la nature, de la portée du traitement et du nombre de personnes concernées par ce dernier ; et la formation restreinte estime qu’une amende de 90 millions euros à l’encontre de la société GOOGLE LLC et une amende de 60 millions euros à l’encontre de la société GIL apparaissent justifiées.
En complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés mettent à disposition des internautes situés en France, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.
Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED

Compétence de la Cnil
Manquement à la règle de simplicité équivalente entre l’acceptation et le refus des cookies (article 82 de la LIL)
La CNIL est matériellement compétente pour contrôler et, le cas échéant, sanctionner les opérations d’accès ou d’inscription d’informations effectuées par la société dans les terminaux des utilisateurs du réseau social Facebook résidant en France et, plus particulièrement, pour manquement à la liberté du consentement des internautes en ne mettant pas à leur disposition un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal qui présente le même degré de simplicité que celui prévu pour en accepter l’usage.
(voir ci-dessus : rejet du mécanisme du guichet unique du RGPD : RGPD vs Loi spéciale (article 5, par 3 de la directive e-Privacy, transposé par l’article 82 de la LIL)
Le consentement de l’art 82 LIL est interprétée par rapport aux exigences de l’article 4.11 d RGPD, dont la liberté de choix au moment de consentir (considérant 42 du RGPD)
Compétence territoriale de la Cnil : dépôt/ lecture effectué dans le cadre des activités de Facebook France
L’ensemble des dispositions de la LIL s’appliquent aux opérations de dépôt, lecture, écriture dans le terminal de l’utilisateur de facebook.com, effectuées dans le cadre des activités d’un établissement situé sur le territoire français, peu importe que le traitement ultérieur ait lieu ou non en France. Facebook France constitue ” l’établissement ” sur le territoire français du groupe Facebook.

- Opérations effectuées sur le Territoire français, relevant de l’article 82 de la LIL.
- Application des dispositions de l’article 20 de la LIL
- Rejet du mécanisme du guichet unique (RGPD : pas applicable aux opérations de dépôts et lecture de cookies)
Manquement à la règle d’équivalente de simplicité pour le refus et l’acceptation des cookies
Pour refuser les cookies sur la page facebook.com, l’utilisateur devra effectuer 3 actions

Facebook rend le mécanisme de refus plus complexe que celui permettant de les accepter. Le fait de devoir cliquer sur ” Gérer les paramètres de données ” et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Cette complexité revient généralement, dans le contexte de la navigation sur le web, en réalité à altérer la liberté de choix des utilisateurs en les incitant à privilégier l’acceptation de ces cookies plutôt que leur refus. Dès lors l’exigence de liberté de choix n’est pas respectée.
L’article 2 des lignes directrices de la Cnil du 17 septembre 2020 et l’article 2.4 de la recommandation de la Cnil du 17 septembre 2020 sont très claires, cette dernière rappelle que ” le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité “. C’est bien l’exigence de liberté du consentement posée par le RGPD qui implique, s’agissant du dépôt de cookies, que les modalités proposées à l’utilisateur pour manifester ce choix soient telles qu’elles ne l’incitent pas plus à accepter les cookies qu’à les refuser. La formation restreinte considère que « l’information fournie aux utilisateurs résidant en France se rendant sur la page ” facebook.com ” ainsi que les modalités de recueil de consentement qui leur sont proposées par la société sur ce site web ne sont pas conformes aux dispositions de l’article 82 de la loi ” Informatique et Libertés ” telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD ».
Sanctions :
L’article 20, paragraphe III, de la loi ” Informatique et Libertés “indique que « l’orientation d’un dossier vers une procédure de sanction appartient au seul président de la CNIL, de sorte que la formation restreinte, n’a pas à se prononcer sur le principe de sa saisine ». La formation restreinte rappelle qu’il n’existe pas d’obligation d’une mise en demeure préalablement à la sanction (confirmation par le Conseil d’Etat (CE, 4 novembre 2020, n°433311, pt 3).
La formation restreinte estime qu’une amende de 60 millions d’euros à l’encontre de la société apparaît justifiée, par rapport au rôle des cookies dans son modèle d’affaires dit de ” mise en relation de contenus ciblés” (“targeted content matching “) ainsi qu’une astreinte d’un montant de 100.000 euros par jour de retard et liquidable à l’issue d’un délai de trois mois.
Textes :
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
- Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (ci-après la ” directive ” ePrivacy “)
- Loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
- Décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
- Délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés
- Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019
- Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »
- CEPD : Avis n°5/2019 du 12 mars 2019 relatif aux interactions entre la directive vie privée et communications électroniques et le RGPD
Jurisprudence
CJUE
- Arrêt Grande Chambre du 13 mai 2014, Google Spain, C-131/12,
- Arrêt du 1er octobre 2015, Weltimmo, C 230/14
- Arrêt du 1er octobre 2019, Planet49, C-673/17
- Arrêt Grande Chambre du 5 juin 2018, Wirtschaftsakademie, C-210/16,
- Arrêt Grande Chambre du 15 juin 2021 Facebook Belgium, C-645/19
Conseil d’Etat
- CE, arrêt du 19 juin 2020, n° 434684, T., concernant la délibération de la CNIL n° 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou écriture dans le terminal d’un utilisateur