Posted by 
Réglementation des Cookies : article 82 LIL
Eléonore Scaramozzino, Avocat Partenaire, Constellation Avocats
Conseil d’État– N° 449209, ECLI:FR:CECHR:2022:449209.20220128– 10ème – 9ème chambres réunies
Dans sa délibération du 7 décembre 2020, délibération n° SAN-2020-012 du 7 décembre 2020, la formation restreinte de la Cnil a rejeté l’application du guichet unique, du RGPD, pour connaître d’un manquement à la réglementation française relative aux cookies, transposant en droit national les dispositions de la directive 2002/58/CE (directive e-privacy).
La Cnil a condamné les sociétés Google LLC et Google Ireland Limited au paiement des amendes administratives d’un montant respectif de 60 et 40 millions d’euros pour manquement à l’article 82 de la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés. La formation restreinte de la Cnil leur a enjoint de mettre en conformité le traitement avec les obligations en résultant, sous astreinte de 100 000 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de sa délibération, et a décidé de rendre publique sa délibération, en l’assortissant d’une procédure d’anonymisation à l’expiration d’un délai de deux ans. Les sociétés ont interjette appel de cette décision et en ont demandé son annulation.
Dans son arrêt du 28 janvier 2022, le Conseil d’Etat confirme dans son intégralité la délibération de la formation restreinte de la Cnil.
Confirmation de la compétence de la CNIL :
La directive 2002/58/CE régit spécialement les traitements de données à caractère personnel dans le secteur des communications électroniques, en précisant et complétant, pour ce secteur et pour ce qu’elle traite spécifiquement, la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, désormais remplacée par le RGPD, dont l’article 94 abroge cette directive tout en précisant que les références à la directive abrogée s’entendent comme faites au RGPD. La formation restreinte de la CNIL tenait des dispositions de l’article 16 de la loi du 6 janvier 1978, compétence pour prendre ces mesures à raison de manquements aux obligations résultant de l’article 82 de cette loi, transposant les objectifs du paragraphe 3 de l’article 5 de la directive 2002/58/CE.
Selon la jurisprudence de la Cour de justice de l’Union européenne dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et dans son dans arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), si les conditions de recueil du consentement de l’utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur, il n’a pas été prévu l’application du mécanisme dit du ” guichet unique ” applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive.
Le CE confirme la jurisprudence de la CUE, le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978.
La Cnil doit garantir le respect des seules obligations résultant de l’article 82 de la loi du 6 janvier 1978 transposant les exigences du paragraphe 3 de l’article 5 de la directive 2002/58/CE.
Confirmation des manquements aux obligations en matière de cookies publicitaires
Dans le cadre du contrôle en ligne effectué le 16 mars 2020 sur le site internet ” google.fr “, il a été constaté que, l’information relatives aux règles de confidentialité applicables aux cookies, et sur la possibilité de refuser que des cookies soient implantés sur le terminal de l’utilisateur, n’était pas facile d’accès. Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l’un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton ” autres options ” et était incomplète sur les finalités des cookies et les moyens de s’y opposer. Par ailleurs, pour les cookies à finalité publicitaire il n’était pas précisé que ces derniers n’étaient pas strictement nécessaires à la fourniture d’un service de communication en ligne.
Postérieurement à l’engagement de la procédure de sanction, Google a adopté des mesures visant à faciliter l’accès à l’information. Il n’est plus procédé au dépôt automatique de cookies publicitaires dès l’arrivée de l’utilisateur sur la page ” google.fr “. Malgré la désactivation de la personnalisation des annonces par l’utilisateur, au moins un cookie ne relevant pas de la catégorie des cookies dits ” d’opposition ” demeurait stocké sur le terminal de l’utilisateur. La société Google Ireland Limited, qui a elle-même reconnu au cours de la procédure de sanction que ce cookie avait une finalité publicitaire, n’a pas apporté d’éléments probants établissant qu’il aurait eu en pratique pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou aurait été nécessaire à la fourniture du service à la demande de l’utilisateur.
Le Conseil d’Etat a rappelé que toute opération de recueil ou de dépôt d’informations stockées dans le terminal d’un utilisateur doit faire l’objet d’une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s’y opposer. Le CE confirme l’absence d’information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d’opposition aux cookies, tels que prévus par l’article 82 de la loi du 6 janvier 1978.
Confirmation du caractère proportionné de la sanction et des mesures correctrices prononcées
La formation restreinte se fonde sur le III de l’article 20 de la loi LIL qui renvoie aux dispositions du RGPD et prend en compte, dans la détermination du montant de l’amende, les critères précisés à l’article 83 du RGPD. Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l’article 60 du règlement “.
En vertu de l’article 83 du règlement général sur la protection des données du 27 avril 2016, auquel renvoie désormais, compte tenu de l’article 94 du règlement, le paragraphe 2 de l’article 15 de la directive 2002/58/CE, les amendes administratives imposées par les autorités de contrôle des Etats membres doivent, dans chaque cas, être ” effectives, proportionnées et dissuasives “. Pour fixer le montant de l’amende, doivent, notamment, être pris en considération : ” a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ; (…) / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; (…) / f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ; (…) / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation “.
Pour fixer le montant de la sanction infligée aux requérantes, la formation restreinte de la CNIL a tenu compte de la part de marché supérieure à 90 % représentée par le moteur de recherche de Google, avec une estimation de 47 millions d’utilisateurs en France, ainsi que des bénéfices particulièrement importants produits par le segment de la publicité ciblée en ligne permise par les données collectées par le recours aux cookies. Pour le Conseil d’Etat, la formation restreinte n’a pas retenu un montant de sanction excédant le plafond fixé par l’article 20 de la loi du 6 janvier 1978. Compte tenu de la gravité des manquements constatés et de l’ensemble des circonstances de l’espèce, la formation restreinte de la CNIL n’a pas infligé une sanction d’un montant disproportionné aux sociétés Google LLC et Google Ireland Limited, les montants respectifs de 60 000 000 euros et 40 000 000 euros retenus pour chacune de ces sociétés n’étant pas disproportionnés au regard des capacités financières respectives de ces deux sociétés.
TEXTES
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD)
- Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
- Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés