Le juge des référés du Conseil d’Etat valide l’injonction faite à Google de se mettre en conformité à la législation sur les cookies.
Par une décision du 4 mars 2021, le Conseil d’Etat a rejeté la requête dirigée contre la délibération de la Cnil du 7 décembre 2020. La Cnil avait enjoint à Google de se mettre en conformité avec la loi Informatique et libertés (art. 82) ; elle avait prononcé une injonction sous astreinte journalière de 100 000 euros.
Rappel de la sanction pour dépôt de cookies sans consentement
Le 7 décembre 2020, la Cnil a prononcé une sanction de 100 millions d’euros à l’égard de deux sociétés du groupe (60 millions pour GOOGLE LLC, 40 millions pour GOOGLE IRELAND LIMITED) pour non-respect des obligations applicables aux cookies.
Tout a commencé par un contrôle en ligne mené par les membres de la délégation de la Cnil. Dès l’arrivée sur les sites des sociétés, ils ont constaté le dépôt de sept cookies sur leur équipement terminal ; et ce, avant même toute action de leur part.
Or, la loi « Informatique et libertés » (art. 82), impose le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, sauf exceptions légales (1).
En l’espèce, quatre de ces sept cookies poursuivaient une finalité publicitaire nécessitant donc le consentement de l’utilisateur avant leur dépôt.
La Cnil a donc considéré que :
- Un manquement à l’article 82 de la loi Informatique et libertés « triplement caractérisé » :
- défaut d’information préalable, claire et complète des utilisateurs,
- dépôt de cookies publicitaires sans le consentement,
- défaillance du mécanisme d’opposition à ces cookies ;
- Ces pratiques « ont affecté près de cinquante millions d’utilisateurs résidant en France » ;
- Les sociétés « en ont tiré des bénéfices considérables à travers les revenus publicitaires indirectement générés par les données collectées par ces cookies ».
L’injonction faite à Google de se mettre en conformité
En plus de l’amende, la Cnil a prononcé une injonction de mise en conformité sous 3 mois ; injonction assortie d’une astreinte de 100 000 euros par jour de retard passé le délai du 7 mars 2021. Elle a considéré que :
- le montant de l’astreinte devait « être d’autant plus élevé que le manquement concerné par l’injonction participe indirectement aux bénéfices générés par le responsable de traitement ».
- le délai de 3 mois était « raisonnable, compte tenu des moyens techniques dont disposent les sociétés et de la capacité d’adaptation dont elles se prévalent ».
Les sociétés du groupe ont demandé au juge des référés du Conseil d’Etat de suspendre l’exécution de l’injonction sous astreinte. Il s’agit d’une procédure d’urgence permettant de suspendre l’exécution d’une décision administrative (art. L.521-1 Code de justice administrative).
Elles ont en effet contesté « le montant très élevé de l’astreinte » et « le délai très réduit pour exécuter l’injonction ». De même, elles ont considéré que le mécanisme de « guichet unique » aurait dû s’appliquer (2). La Cnil serait « incompétente pour prononcer une telle injonction, cette compétence appartenant à l’autorité de contrôle de l’établissement principal du traitement » ; estimant que « l’autorité de contrôle compétente [aurait dû] être l’autorité irlandaise, la société Google Ireland Limited étant l’établissement principal de Google en Europe ».
Le Conseil d’Etat ne suspend pas l’injonction faite à Google
Dans sa décision du 4 mars 2021, le juge des référés du Conseil d’Etat rejette la requête considérant qu’aucun moyen n’est fondé. Il rappelle premièrement que la Cnil :
« dispose, pour l’accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu’elle juge les plus appropriées, y compris en recourant au prononcé d’une injonction de mettre en conformité un traitement qui ne respecte pas les obligations applicables aux » cookies » et autres traceurs de connexion découlant de l’article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002 » (directive dite « ePrivacy »).
Le pouvoir d’injonction avec astreinte est un nouveau pouvoir de la formation restreinte issu du RGPD (3). Il lui permet en effet « d’adopter toutes les mesures correctrices » permettant d’atteindre la mise en conformité dans un délai contraint. L’injonction peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard (Loi 78-17 art. 20 III).
Le mécanisme du guichet unique ne s’applique pas en l’espèce
Deuxièmement, le Conseil d’Etat considère que le droit européen ne prévoit pas l’application du mécanisme de guichet unique aux cookies. Il relève en effet que ces dispositions ne prévoient pas « l’application du mécanisme dit du guichet unique prévu à l’article 56 de ce règlement aux mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 qui relèvent de la compétence des Etats membres en application des dispositions de l’article 15 bis de cette directive ».
En conséquence, il estime que « les moyens tirés de ce que la Cnil ne serait pas compétente pour édicter l’injonction litigieuse et de ce qu’elle aurait commis une erreur de droit et une erreur de qualification juridique des faits en considérant que sa compétence exclurait l’application du mécanisme du guichet unique ne paraissent pas, en l’état de l’instruction, propre à créer un doute sérieux sur la légalité de la décision attaquée ».
Le Conseil d’État conclut donc au rejet de la requête. La prochaine étape consistera donc à liquider l’astreinte fixée par la Cnil dans l’injonction faite à Google. Son montant dépendra du nombre de jours de retard pris pour régulariser la situation (4).
La semaine dernière Google a annoncé arrêter d’utiliser l’historique de navigation des utilisateurs pour vendre de la publicité (5).
Enfin, rappelons que la Cnil a fixé au 31 mars 2021 la date butoir pour se mettre en conformité aux lignes directrices et recommandations adoptées le 17 septembre 2020 (6).
Céline Avignon
Lexing Publicité et marketing électronique
Isabelle Pottier
Lexing Département Etudes et publications
Notes :
(1) Cookies ayant « pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ; et étant « strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
(2) Le guichet unique est une procédure qui permet aux entreprises établies dans l’Union européenne d’avoir un seul interlocuteur ; l’autorité chef de file choisi parmi les autorités de protection des données de l’UE.
(3) Alain Bensoussan, Virginie Bensoussan Brulé et Jérémy Bensoussan, « Jurisprudence Données personnelles Décisions tendances 2018-2020 », Lexing Editions, mars 2021.
(4) L’article 44 du décret 2019-536 encadre la procédure de liquidation d’une astreinte.
(5) Vidéo du 3 mars 2021 diffusée sur YouTube.
(6) Faites le point sur cette question en vous inscrivant au petit-déjeuner en visioconférence du 31 mars 2021. « Fin de la saga sur la conformité des cookies ? » (Programme et inscription).