CE, 28 janvier 2022.
Par l’arrêt du 28 janvier 2022, n° 449209, le Conseil d’État, 10e et 9e ch. réunies, a rejeté le recours formé par les sociétés Google LLC et Google Ireland Limited à l’encontre de la sanction prononcée, contre elles, par la formation compétente de la Commission nationale de l’informatique et des libertés (Cnil) le 7 décembre 2020, SAN-2020-012, pour atteinte portée aux droits des internautes utilisateurs du fait de l’installation de « cookies » sans qu’une information claire leur soit donnée et sans leur consentement.
Faits reprochés à Google
Était reproché aux sociétés Google le fait que, lorsqu’un utilisateur faisait usage du moteur de recherche, des cookies étaient automatiquement déposés sur son terminal, sans qu’il soit informé des règles de confidentialité applicables, ni de la possibilité de refuser que ces traceurs soient implantés à des fins publicitaires.
De telles pratiques vont à l’encontre des dispositions de l’article 82 de la loi n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés. Aux termes de cet article, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète […] par le responsable du traitement : 1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° des moyens de s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ». À titre dérogatoire, il est posé que « ces dispositions ne sont pas applicables » si l’inscription ou l’accès aux informations stockées dans l’équipement terminal de l’utilisateur : « 1° soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° soit, est exclusivement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
C’est sur la base de ces dispositions que la formation restreinte de la Cnil a prononcé la condamnation contestée.
Compétence de la Cnil
Dans leur requête en annulation de la décision de condamnation prononcée contre elles, les sociétés Google ont, s’agissant d’un traitement transfrontalier de données à caractère personnel, contesté la compétence de la Cnil, autorité de contrôle française, au profit de l’autorité nationale de contrôle de l’établissement du responsable du traitement litigieux, en l’espèce, l’autorité irlandaise.
À l’appui de leur argumentation, les sociétés Google se sont notamment prévalues des dispositions du règlement (UE) 2016/679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données). Si celui-ci pose, en son article 55, que « chaque autorité de contrôle est compétente […] sur le territoire de l’État membre dont elle relève », il prévoit cependant, en son article 56, que « sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement […] est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ».
Cependant, un tel régime de l’autorité de contrôle « chef de file » ou du « guichet unique » n’est pas prévu par la directive 2002/58/CE dite « Vie privée et communications électroniques » du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
Dans son arrêt, le Conseil d’État retient qu’il résulte de ces différentes dispositions que, si les conditions de recueil du consentement de l’utilisateur prévues par le Règlement du 27 avril 2016 sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur, il n’a pas été prévu l’application du mécanisme dit du « guichet unique » applicable aux traitements transfrontaliers, défini par ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive du 12 juillet 2002 qui relèvent de la compétence des autorités nationales de contrôle.
Il s’ensuit que, pour ce qui concerne les opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs, en France, d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive relèvent de la compétence conférée à la Cnil par la loi du 6 janvier 1978.
En conséquence, il est jugé que, alors que la décision attaquée a voulu garantir le respect des seules obligations résultant de l’article 82 de la loi du 6 janvier 1978, transposant les exigences de la directive de 2002, les sociétés Google requérantes ne sont pas fondées à soutenir que la Cnil n’aurait pas été compétente.
Montant de la condamnation
Considérant que c’est à bon droit que la Cnil a retenu que les faits reprochés à Google caractérisaient une absence d’information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d’opposition aux cookies, le Conseil d’État valide la condamnation et son montant.
L’article 20 de la loi du 6 janvier 1978 confie à la formation restreinte de la Cnil, investie d’un pouvoir de sanction, notamment le pouvoir d’adresser au responsable du traitement fautif « une injonction de mettre le traitement en conformité avec les dispositions légales, avec la possibilité de l’assortir d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la décision ; ainsi qu’une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ».
Dans sa décision du 7 décembre 2020, objet du recours, la Cnil a prononcé, à l’encontre de la société Google LLC, une amende administrative d’un montant de 60 millions d’euros et, à l’encontre de la société Google Ireland Limited, une amende de 40 millions d’euros. Elle y a ajouté une astreinte de 100 000 euros par jour de retard de mise en conformité avec les dispositions légales.
Pour apprécier la conformité de la condamnation prononcée, le Conseil d’État retient notamment que, pour fixer le montant des amendes administratives, la Cnil a tenu compte de la part de marché supérieure à 90 % représentée par le moteur de recherche de Google, avec une estimation de 47 millions d’utilisateurs en France, ainsi que des bénéfices particulièrement importants que produit le segment de la publicité ciblée en ligne permise par les données collectées grâce aux cookies. Il estime que la Cnil n’a pas retenu un montant de sanction excédant le plafond fixé par la loi et que, compte tenu de la gravité des manquements constatés, la sanction infligée n’est pas d’un montant disproportionné. Le Conseil d’État juge également que le montant de l’astreinte ne dépasse pas la limite fixée par la loi.
L’implantation du siège social d’entreprises du secteur du numérique en ligne, ou de certaines de leurs filiales, dans un État membre de l’Union européenne soumet celles-ci au droit de l’Union (directive 2002/58/CE, du 12 juillet 2002, et, pour autant que les deux textes soient cohérents entre eux, règlement (UE) 2016/679, du 27 avril 2016) et, pour les activités qu’elles exercent à l’égard des citoyens de chacun de ces États, au droit national (dont, s’agissant de la France, notamment la loi n° 78-17, du 6 janvier 1978).
On cherche ainsi, notamment, à assurer la protection des droits des internautes utilisateurs contre les pratiques consistant, en particulier à des fins publicitaires, à accéder, sans une juste information préalable et sans leur accord, au moyen de cookies, à des informations, relatives à leurs usages, stockées sur leur équipement terminal. Conformément à ce qui est prévu par les textes, le montant des condamnations susceptibles d’être prononcées par la Cnil, sous le contrôle du Conseil d’État, doit tenir compte du chiffre d’affaires réalisé par les entreprises responsables de faits de violation. Il est jugé, en l’occurrence, que c’est bien ce qui a été fait.
