Cookies : le Conseil d’État valide l’amende CNIL de 100 millions d’euros contre Google

Dans un arrêt rendu le 28 janvier, en pleine journée « de la protection des données », le Conseil d’État a rejeté le recours de Google LLC et Ireland contre la sanction assénée par la CNIL en 2020. La juridiction administrative confirme ces 100 millions d’euros d’amende, prononcée pour de multiples violations à la législation des cookies.

Le 10 décembre 2020, la CNIL infligeait une sanction de 100 millions d’euros à l'encontre de Google. Dans la lunette de tir, la (mauvaise) gestion des cookies que le géant du numérique devait rectifier dans les trois mois, sous la menace d’une astreinte de 100 000 euros par jours de retard.

• Cookies : la CNIL inflige 35 millions d’euros d’amende à Amazon, 100 millions à Google

Dans sa délibération, la commission épinglait le dépôt de cookies dès l’arrivée sur la page de garde du moteur, avant toute action de l’internaute, et donc nécessairement sans son consentement. Autre manquement, un défaut d’information suffisamment explicite des finalités. Google avait en effet pris soin de ranger ces données dans les tréfonds de son « architecture informationnelle ».

« Les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles » avait réagi un porte-parole de Google.

L’entreprise regrettait sur ce point que la CNIL ait fait « l'impasse sur ces efforts », sans prendre en compte « le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution ».

En mai 2021, la CNIL clôturait la procédure estimant que, pour ce cas spécifique, « les personnes se rendant sur le site google.fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site ». 

Mais l'histoire n'était pas vraiment terminée puisque Google ne s’est pas satisfait de cette sanction qu'elle a attaquée devant les juridictions administratives. 

Pas de « One-stop-shop » au profit de l'Irlande

Après un premier échec en référé le 4 mars 2021 – une procédure d’urgence, l’entreprise a poursuivi sa bataille « au fond ». Vainement… Vendredi, le Conseil d’État a refusé d’annuler la délibération. Pour savoir pourquoi, il faut revenir sur les différents arguments mis en avant.

D’entrée, le moteur a tout simplement contesté les compétences de la CNIL, considérant en substance que ce dossier aurait dû être traité intégralement par l’autorité irlandaise. Selon le RGPD, celle-ci endosse en effet la casquette de « chef de file » : Google y a son établissement en Europe et qu’il s’agit de traitements de données à caractère personnel transfrontaliers.

Le Conseil d’État va cependant valider la grille de lecture de la Commission et les conclusions du rapporteur public, non sans dresser un état des lieux des textes ici en jeu.

À droite, le RGPD qui prévoit effectivement ce système de guichet unique ou « One-stop-shop ». À gauche, la directive e-Privacy de 2002 qui concerne l’encadrement spécifique des cookies. Avec un pont entre ces deux rives : e-Privacy renvoie au RGPD le soin de définir les conditions de recueil du consentement des internautes.

Or, sur ce point, le Conseil d’État souligne que :

« Si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 »

En clair ? Le guichet unique ne fonctionne pas s’agissant du contrôle des cookies, dont le cœur relève de la directive e-Privacy et donc de la seule compétence des autorités nationales, soit la CNIL en France. Peu importe dès lors que le traitement soit national ou transfrontalier.

La même juridiction n’a pas jugé utile de saisir la Cour de justice de l’Union européenne de cette question, « en l’absence de tout doute raisonnable » et de « difficulté sérieuse ». Il faut dire que la décision rappelle à Google que la même CJUE a déjà tranché cette question, notamment dans un arrêt de juin 2021 concernant Facebook. 

Une sanction régulière

Google avait d’autres arguments dans sa besace. La société a soutenu que la procédure menée par la formation restreinte de la CNIL aurait méconnu les droits de la défense et le sacro-saint principe du contradictoire.

Des reproches là encore repoussés puisqu’entre le contrôle en ligne effectué le 16 mars 2020 et la décision finale, Google a fait valoir plusieurs fois ses réponses et autres observations. Et le Conseil d’État a rappelé qu’en vertu des textes en vigueur, « le prononcé d'une sanction n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable de traitement ou de son sous-traitant par le président de la CNIL ».

Dans la jungle de l’arborescence informationnelle de Google

S’agissant du manquement en lui-même, le Conseil d’État a rappelé l’arborescence informationnelle de Google.fr à l’époque des faits, dans un luxe de détail :

« Lorsqu'un utilisateur se rendait sur la page " google.fr ", sept cookies étaient automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site. Lors de l'arrivée sur la page " google.fr ", un bandeau d'information s'affichait en pied de page, contenant la mention " Rappel concernant les règles de confidentialité de Google ", en face de laquelle figuraient deux boutons intitulés " Me le rappeler plus tard " et " Consulter maintenant ".

En cliquant sur le bouton " Consulter maintenant ", l'utilisateur n'était pas informé des règles de confidentialité applicables aux cookies, ni de la possibilité de refuser qu'ils soient implantés sur son terminal.

Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l'un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton " autres options ". »

En août et septembre dernier, Google avait bien mis à jour ce bandeau, en proposant dans une fenêtre un choix aux utilisateurs entre « J’accepte » et « Plus d’informations ». Effort là encore insuffisant pour le Conseil d’État, pour qui « les indications ainsi fournies n'informent pas directement et explicitement l'utilisateur sur les finalités des cookies et les moyens de s'y opposer ». De même, un cookie publicitaire restait installé par défaut.

L’arrêt insiste : selon la loi de 1978, les utilisateurs doivent « faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer ». 

À la lecture des faits, la juridiction juge donc que « c'est à bon droit que, par une décision suffisamment motivée sur ce point et non entachée d'erreur d'appréciation, la formation restreinte de la CNIL a retenu que les faits exposés aux points précédents caractérisaient une absence d'information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d'opposition aux cookies ».

Et à Google qui se plaignait d’un cadre juridique non consolidé, le juge administratif rappelle en effet que la CNIL a défini des lignes directrices sur les cookies le 4 juillet 2019, lignes accompagnées de plusieurs communiqués explicatifs, où l'autorité a accordé une période d’adaptation aux responsables de traitement pour respecter les nouvelles règles d’opposition.

• Cookies : la tolérance de la CNIL passe le cap du Conseil d’État

Cependant, la Commission avait bien expliqué qu’elle serait intraitable à l’encontre des responsables de traitements qui ne respecteraient pas les grands principes, antérieurs et donc indépendants de ces lignes (dernier paragraphe de ce communiqué).

La loi de 1978, souligne encore l’arrêt, « posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition ». La violation de ces grands principes était donc sans lien avec les reproches fondés sur un éventuel cadre juridique non consolidé.

Une sanction proportionnée

Le Conseil d’État va enfin estimer parfaitement proportionnée cette sanction de 100 millions d’euros (60 millions pour Google LLC et 40 millions pour Google Ireland).

Sans violer les textes, la CNIL a pu prendre en compte les 90 % de part de marché de Google, les 47 millions d’utilisateurs estimés, les bénéfices particulièrement importants produits par la publicité ciblée, et le manque de collaboration de Google, tout en restant en dessous des plafonds posés par les textes. 

« Les montants respectifs de 60 000 000 euros et 40 000 000 euros retenus pour chacune de ces sociétés [ne sont] pas disproportionnés au regard des capacités financières respectives de ces deux sociétés » a rétorqué l’arrêt. Lequel a validé le caractère public de la sanction, « compte tenu de la gravité du manquement en cause et du grand nombre d'utilisateurs concernés ».

En juillet 2021, la CNIL a été saisie de nouvelles plaintes. Elles portaient non comme ici sur le droit à l’information des internautes avant installation des cookies publicitaires, mais sur les modalités d’opposition s’agissant de Google.fr et YouTube.com. Après examen, la Commission a décidé d’infliger une amende de 150 millions d’euros (90 millions d’euros pour Google LLC, 60 millions pour Google Ireland).

• Lourdes amendes CNIL à l'encontre des cookies Google et Facebook : notre décryptage