Cnil, 7 décembre 2020, SAN-2020-012, Stés Google LLC et Google Ireland Limited.
Reprochant à Google le non-respect des obligations légales françaises en matière de juste information et de recueil du consentement des internautes utilisateurs quant à l’usage de cookies, la Cnil a prononcé de lourdes condamnations pécuniaires.
À l’origine de cette affaire, la Commission nationale de l’informatique et des libertés (Cnil) fit constater que la connexion, sur le site Google.fr, au moteur de recherche de Google entraînait, à l’insu des utilisateurs et donc en violation de leur droit à la protection des données à caractère personnel, l’introduction de cookies (décrits comme consistant en des « opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs », permettant la collecte et l’utilisation de données personnelles « notamment à des fins publicitaires ») dans les ordinateurs des internautes. En conséquence, et conformément aux pouvoirs que lui donne la loi française du 6 janvier 1978, dite Informatique et Libertés, et dans le respect des textes européens (notamment la directive 2002/58/CE du 12 juillet 2002 et le règlement (UE) n°2016/679 du 27 avril 2016, dit RGPD), ladite Cnil engagea une procédure de sanction à l’encontre des sociétés Google LLC, dont le siège social est aux États-Unis, et Google Ireland Limited, l’Irlande étant le lieu principal d’implantation des activités de Google en Europe. Cela aboutit à la décision de condamnation, du 7 décembre 2020 (SAN-2020-012), prononcée par ladite « commission restreinte » de la même Cnil.
De la complexité des questions techniques et juridiques soulevées par cette affaire, il convient notamment de faire ressortir ce qui est relatif à la compétence de la Cnil, à la détermination des responsables et aux sanctions prononcées.
Compétence de la Cnil
En réponse à la contestation, par les sociétés en cause, de la procédure engagée contre elles, la Cnil, dans sa décision, se prononce tant sur sa compétence matérielle que sur sa compétence territoriale.
Pour justifier de sa compétence matérielle, la Cnil se réfère aux dispositions combinées de la directive européenne du 12 juillet 2002 et de la loi du 6 janvier 1978 (modifiée). Celle-ci dispose notamment que, sur saisine du président de la Commission, « la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations » que cette même loi leur impose. Ladite formation en déduit être « matériellement compétente […] pour contrôler et sanctionner les opérations d’accès ou d’inscription d’informations mises en œuvre », par les sociétés visées, « dans les terminaux des utilisateurs du moteur de recherche Google Search résidant en France ».
Pour justifier de sa compétence territoriale, la Cnil se réfère à d’autres dispositions de la même loi de 1978 selon lesquelles l’ensemble du texte s’applique « aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France ». En l’espèce, il est considéré que le traitement de données personnelles litigieux, « consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Google Search, notamment à des fins publicitaires, est effectué dans le cadre des activités de la société Google France, qui constitue l’établissement sur le territoire français du groupe Google ».
Pour la Cnil, qui retient cet élément pour justifier de sa compétence, la société française n’est pas responsable des faits reprochés.
Détermination des responsables
Se référant à la directive de juillet 2002, c’est sur la base du RGPD, d’avril 2018, que la Cnil fonde la détermination des sociétés responsables. Mention est, pour cela, faite des dispositions selon lesquelles est considérée comme responsable la personne qui, seule « ou conjointement avec d’autres, détermine les finalités et les moyens du traitement », ajoutant que, « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement », ils en sont « les responsables conjoints ».
Relevant qu’il a été reconnu devant elle que la société Google Ireland « participe au développement et à la supervision des politiques internes qui guident les produits et leur conception, à la mise en place des moyens techniques, à la détermination des règles de confidentialité et à toutes les vérifications réalisées avant le lancement des produits », la Cnil en déduit que cette société irlandaise « est, au moins pour partie, responsable du traitement ».
Pour retenir également la responsabilité de la société Google LLC, la Cnil considère que c’est elle qui « conçoit et construit la technologie des produits Google » ; que, « en ce qui concerne les cookies déposés et lus lors de l’utilisation du moteur de recherche Google Search, il n’existe aucune différence de technologies entre les cookies déposés à partir des différentes versions du moteur de recherche » ; et que ladite société américaine « continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause ».
De tout cela, la Cnil arrive à la conclusion que les deux sociétés Google Ireland et Google LLC doivent être tenues conjointement responsables des faits reprochés et qu’elles doivent, en conséquence, supporter les condamnations prononcées.
Sanctions prononcées
Aux condamnations pécuniaires prononcées contre les deux sociétés, s’ajoute notamment l’injonction, qui leur est adressée, de mettre le traitement en cause en conformité avec les obligations légales.
Pour fixer le montant des condamnations pécuniaires, la Cnil prend en compte « la gravité du manquement, compte tenu de la nature et de la portée du traitement », et la part de marché occupé par le moteur Google Search. « Au regard des responsabilités respectives des sociétés, de leurs capacités financières et des critères » du RGPD, la formation compétente de la Cnil « estime qu’une amende de 60 000 000 d’euros à l’encontre de la société Google LLC et une amende de 40 000 000 d’euros à l’encontre de la société Google Ireland Limited apparaissent effectives, proportionnées et dissuasives, conformément aux exigences » dudit règlement.
Constatant, par ailleurs, que, à la date à laquelle elle statue, ces deux sociétés « n’informent toujours pas les utilisateurs résidant en France, de manière claire et complète, des finalités de tous les cookies soumis au consentement et des moyens dont ils disposent pour les refuser », la Cnil estime « nécessaire le prononcé d’une injonction », qu’elle accompagne d’une astreinte d’un montant de 100 000 euros par jour de retard, « afin que les sociétés se mettent », dans un délai de trois mois, « en conformité avec les obligations applicables en la matière ».
La Cnil considère encore que, « au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées », il convient d’ordonner la publication de la décision, afin « d’alerter les utilisateurs français du moteur de recherche Google Search ».