Accueil Actualités Protection des données personnelles : L...

Protection des données personnelles : Le Conseil d’Etat confirme le pouvoir régulateur de la CNIL à l’égard des acteurs transfrontaliers du numérique tels que Google

Articles 25 avril 2022 Par Dina
Cohen-Sabban

Nous y sommes désormais ô combien coutumiers : avant même d’accéder au contenu d’un site Internet, les internautes que nous sommes, voient surgir sur l’écran, une fenêtre les invitant à accepter les cookies.

Derrière cette fenêtre, les enjeux sont conséquents puisque sur le choix de la case à cocher, se jouent le sort des données personnelles de l’internaute et … des recettes publicitaires en résultant !

C’est l’article 82 de la loi Informatique et Libertés transposant en droit français, l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » qui prévoit notamment :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer (…) ».

Afin de permettre aux acteurs d’internet de s’adapter à cette règle entrée en vigueur le 1er juin 2019, la CNIL avait accordé un délai expirant le 31 mars 2021, aux sites et applications mobiles pour qu’ils se mettent en conformité.

Dans cette perspective, elle avait publié le 1er octobre 2020, des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs.

Aux termes de ces lignes directrices, la CNIL explique notamment :

  •  Que l’internaute doit être informé des finalités des traceurs,
  • Que (et surtout) refuser les traceurs doit être aussi simple que les accepter.

Et nombreux sont les opérateurs économiques qui refusant de renoncer à cette manne, rendent particulièrement complexe ce refus et / ou particulièrement obscure cette information !

C’est dans ce contexte que le 16 mars 2020, les services de la CNIL ont procédé à un contrôle en ligne destiné à vérifier le respect, sur le site internet  » google.fr « , des dispositions précitées.

La navigation sur  » google.fr  » établissait que, lorsqu’un utilisateur se rendait sur la page  » google.fr « , pas moins de 7 cookies étaient automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site.

Lors de l’arrivée sur la page  » google.fr « , un bandeau d’information s’affichait en pied de page, contenant la mention  » Rappel concernant les règles de confidentialité de Google « , en face de laquelle figuraient deux boutons intitulés  » Me le rappeler plus tard  » et  » Consulter maintenant « .

En cliquant sur le bouton  » Consulter maintenant « , l’utilisateur n’était pas informé des règles de confidentialité applicables aux cookies, ni de la possibilité de les refuser. Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l’un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton  » autres options « … bref un parcours bien dissuasif !

A l’évidence, les lignes directrices de la CNIL ne se retrouvaient pas dans cette navigation…

Le 7 décembre 2020, la formation restreinte de la CNIL a donc prononcé à l’encontre des sociétés Google LLC et Google Ireland Limited :

  • une amende administrative d’un montant, respectivement, de 60 millions d’euros et de 40 millions d’euros,
  • leur a enjoint de mettre en conformité le traitement avec les obligations en résultant, sous astreinte de 100 000 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de sa délibération et
  • décidé de rendre publique sa délibération, en l’assortissant d’une procédure d’anonymisation à l’expiration d’un délai de deux ans.

Les sociétés Google LLC et Google Ireland Limited contestaient cette sanction.

L’affaire arrivait devant le Conseil d’Etat.

Les sociétés condamnées soutenaient notamment :

  • que s’agissant d’un traitement transfrontalier et en vertu du mécanisme dit du guichet unique, c’est le Data Protection Commissioner irlandais (et non la CNIL) était compétente pour éventuellement les sanctionner,

En effet, le RGPD institue, en matière de traitement transfrontalier, un mécanisme de « guichet unique », attribuant une compétence exclusive à l’autorité de contrôle (dite « chef de file ») de l’état dans lequel se trouve l’établissement principal du responsable du traitement transfrontalier.

  • Que les amendes prononcées n’étaient pas conformes aux dispositions de l’article 83 du règlement général sur la protection des données du 27 avril 2016, exigeant que celles-ci soient « effectives, proportionnées et dissuasives « . Google estimait qu’en l’espèce, elles étaient disproportionnées.

Aux termes de son arrêt du 28 janvier 2022, le Conseil d’Etat balayait l’argumentaire des sociétés Google LLC et Google Ireland Limited.

S’agissant de la compétence de la CNIL, elle rappelait la jurisprudence de la CJUE (arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19),

Pour rappel, dans cette dernière affaire (CJUE, 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), une situation similaire s’était présentée en Belgique.

Les autorités belges ayant constaté des violations au RGPD, se posait la question de la compétence des juridictions belges à l’égard de Facebook Ireland et Facebook Inc face à un traitement transfrontalier.

La CJUE saisie de la question préjudicielle, s’attachait à expliciter le mécanisme de « guichet unique » en affirmant que si la compétence de l’autorité de contrôle chef de file était la règle, elle comprenait des exceptions.

Ainsi, elle estimait possible pour une autorité de contrôle concernée par les traitements transfrontaliers des données personnelles d’y déroger, notamment :

– pour traiter une réclamation introduite auprès d’elle et qui concerne un traitement transfrontalier de données à caractère personnel ou une infraction éventuelle au RGPD, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement (RGPD, art. 56, § 2),

– lorsque l’autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et les libertés des personnes concernées, d’adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois (RGPD, art. 66),

Partant de cette réponse de la CJUE, le Conseil d’Etat relève que le guichet unique n’exclut pas la compétence des juridictions nationales et confirme la compétence de la CNIL.

Une fois confirmée la compétence de la CNIL, elle confirmait son appréciation sur le fond, jugeant :

  • D’une part que les faits relevés lors du contrôle caractérisaient une absence d’information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d’opposition aux cookies, tels que prévus par l’article 82 de la loi du 6 janvier 1978.
  • D’autre part que pour fixer le montant de la sanction infligée aux requérantes, la CNIL a tenu compte de la part de marché supérieure à 90 % représentée par le moteur de recherche de Google, avec une estimation de 47 millions d’utilisateurs en France, ainsi que des bénéfices particulièrement importants produits par le segment de la publicité ciblée en ligne permise par les données collectées par le recours aux cookies. Elle a également pris en compte …l’absence persistante, en particulier, de communication des revenus publicitaires des sociétés Google en France.

Par conséquent, et compte tenu de la gravité des manquements relevés, les montants respectifs de 60 000 000 euros (pour Google LLC) et 40 000 000 euros (pour Google Ireland) n’étaient pas disproportionnés au regard des capacités financières respectives de ces deux sociétés.

Voilà comment juridictions étatiques et communautaires entendent mettre au pas les acteurs du numérique.

Plus d’exil irlandais en matière de traitement des données personnelles, la CNIL veille !

Et la régulation de l’économie numérique, à l’aune de la protection des données personnelles, est dans son viseur !