Selon la loi dite « Informatique et liberté » (Loi 78-17 du 6-1-1978), lorsqu’un site internet recueil des informations qui sont stockées dans sont terminal, appelés plus communément « cookies », l’utilisateur doit en être informé par le responsable de traitement (ou son représentant). Il appartient à ce dernier de préciser la finalité des opérations, ainsi que les moyens pour l’internaute de s’y opposer, pour que l’utilisateur soit en mesure de donner son consentement, avant la réalisation de ces opérations.
C’est en se fondant sur un manquement à ces dispositions que la CNIL avait condamné GOOGLE (Délib. Cnil 7-12-2020 n° SAN-2020-012), au paiement d’amendes administratives pour un montant total de 100 millions d’euros.
Le Conseil d’Etat, dans un arrêt du 28 janvier 2022 (CE 28-1-2022 n°449209), rejette le recours en annulation formé par le géant américain.
La société soulevait le manque de compétence de la CNIL pour prononcer de telles sanctions à son encontre. Selon elle, le traitement des données étant transfontalier, et par application du mécanisme du guichet « unique », c’est l’autorité irlandaise qui aurait compétense à agir. Elle se fonde pour cela sur le RGPD (Règl. 2016/679 du 27-4-2016 art.56), qui prévoit que l’autorité compétente est celle du lieu d’établissement du responsable de traitement.
A cela, la Haute Autorité administrative répond que la décision de la CNIL s’appuie sur les dispositions de la loi « Informatique et libertés » précitée, qui transpose la directive ePrivacy (Dir. 2002/58 du 12-7-2002 modifiée par Dir.2009/136 du 25-11-2009), qui encadre l’utilisation de cookies et qui se réfère à la loi française pour déterminer l’autorité compétente, ici la CNIL.
De plus, le Conseil d’Etat soulève un manquement à l’obligation d’information de l’utilisateur, précitée et un mécanisme défaillant d’opposition aux cookies. En effet, 7 cookies étaient automatiquement installés sur les ordinateurs des utilisateurs dès leur arrivée sur le site, dont 4 à des fins publicitaires.
L’utilisateur avait alors la possibilité de cliquer sur « Rappel concernant les règles de confidentialité de Google », puis il avait le choix entre deux options : « Me le rappeler plus tard » et « Consulter maintenant ». Néanmois, lorsqu’il choisissait le seconde, il n’avait pas accès aux informations de confidentialité ni la possibilité de refuser les cookies. Pour ce faire, il devait suivre un cheminement complexe et cliquer sur « Autres options ».
Même si, suite à l’introduction en procédure de sanction, le système de Google a été mis à jour en septembre 2020, de sorte à ce que l’utilisateur voit dès son arrivé sur la page, une fenêtre contenant l’ensemble des informations nécessaires et lui laissant la possibilité de cliquer sur « J’accepte » ou « Plus d’informations », l’information fournie est jugée comme pas assez explicite concernant la finalité et les moyens de s’opposer à ces opérations.
Enfin, Google invoquait la disproportionnalité des sanctions prononcées. Ce que rejette encore une fois le Conseil d’Etat, pour qui les amendes fixées ne dépassaient pas les plafonds définis par la loi, soit 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent.
Il est à noter, pour tenir compte des évolutions proposées par Google, la CNIL avait levé l’astreinte de 100 000 euros par jour de retard le 30 avril 2021.