1. Condamnation de Google par la Cnil le 7 décembre 2020

Le 7 décembre 2020, la Cnil condamnait les société Google LLC et Google Ireland Limited à une amende total[1] de 100 millions d’euros.

Cette amende sanctionnait trois violations à l’article 82 de la loi informatique et libertés. Cet article transpose la directive ePrivacy de 2002.

Premièrement, plusieurs cookies déposés avaient une finalité publicitaire. Or, aucun recueil préalable du consentement de l’utilisateur n’était obtenu par Google. La Cnil a constaté le défaut de consentement.

Deuxièmement, un bandeau d’information relatif aux cookies s’affichait bien en pied de page. Néanmoins, aucune information précise permettant d’expliquer à l’utilisateur les objectifs de ces cookies, ni les moyens mis à leur disposition quant à la possibilité de les refuser n’y figuraient. La Cnil a constaté le défaut d’information.

Troisièmement, le bouton qui permettait de désactiver la personnalisation des annonces sur la recherche Google n’était que partiellement fonctionnel.  La Cnil a estimé que le mécanisme d’opposition mis en place par les sociétés était partiellement défaillant. 

2. Condamnation de Google par le Conseil d’Etat le 28 janvier 2022

Les sociétés Google LLC et Google Ireland Limited ont notamment fait appel en arguant de l’incompétence de la Cnil. Elles estiment que l’autorité compétente doit être celle du lieu d’établissement du responsable du traitement. En l’espèce l’autorité irlandaise.

Le Conseil d’Etat confirme la décision de la Cnil le 28 janvier 2022. Le Conseil d’Etat reprend le raisonnement de l’arrêt du 4 mars 2021 rendue à l’encontre des sociétés Google également.  

La Cnil est l’autorité compétente sur le territoire national français pour informer les acteurs et personnes concernées par les traitements des droits et obligations. Elle veille également à ce que les traitements de données soient mis en œuvre conformément à la législation.

Sa formation restreinte peut prendre des sanctions à l’encontre du responsable du traitement ou des sous-traitants qui ne respectent pas les textes. 

La directive ePrivacy fait partie du corpus de texte dont la Cnil doit assurer du respect.

Ce texte contient bien les dispositions applicables citées en matière de cookies par la Cnil.

Ce texte ayant été transposé à l’article 82 de la loi informatique et libertés.

Les manquements imputables aux sociétés Google le sont sur le fondement de cet article.

Aucun texte ne prévoit l’existence d’un guichet unique qui serait l’autorité nationale du lieu d’établissement du responsable de traitement, pour le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier.

La Cnil est donc, « en l’absence de tout doute raisonnable » compétente en ce domaine. Et le Conseil d’État confirme les manquements des sociétés Google.

3. Plan d’actions

Les cookies sont identifiables par de simples manipulations sur les propriétés du navigateur. De nombreuses plaintes sont déposées sur ce sujet chaque jour auprès de la Cnil. Si des cookies sont déposés sur le poste d’utilisateur en France, alors la Cnil est compétente.

Ainsi, afin de se conformer aux obligations en matière de protection des données personnelles, il est rappelé qu’il convient donc de :

• obtenir et conserver la preuve du consentement de l’utilisateur aux cookies déposés sur son poste ;
• informer clairement des objectifs des cookies et des moyens pour s’y opposer ;
• de permettre un droit d’opposition effectif.

Pour toute question, n’hésitez pas à nous contacter.

[1] Cette amende est répartie à 60M€ pour Google LLC et 40 M€ pour Google Ireland.