Cookies : le Conseil d’État valide l'amende CNIL de 100 millions d'euros contre Google

Cookies : le Conseil d’État valide l’amende CNIL de 100 millions d’euros contre Google

Don't be evil

14

Cookies : le Conseil d’État valide l'amende CNIL de 100 millions d'euros contre Google

Dans un arrêt rendu le 28 janvier, en pleine journée « de la protection des données », le Conseil d’État a rejeté le recours de Google LLC et Ireland contre la sanction assénée par la CNIL en 2020. La juridiction administrative confirme ces 100 millions d’euros d’amende, prononcée pour de multiples violations à la législation des cookies.

Le 10 décembre 2020, la CNIL infligeait une sanction de 100 millions d’euros à l'encontre de Google. Dans la lunette de tir, la (mauvaise) gestion des cookies que le géant du numérique devait rectifier dans les trois mois, sous la menace d’une astreinte de 100 000 euros par jours de retard.

Dans sa délibération, la commission épinglait le dépôt de cookies dès l’arrivée sur la page de garde du moteur, avant toute action de l’internaute, et donc nécessairement sans son consentement. Autre manquement, un défaut d’information suffisamment explicite des finalités. Google avait en effet pris soin de ranger ces données dans les tréfonds de son « architecture informationnelle ».

« Les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles » avait réagi un porte-parole de Google.

L’entreprise regrettait sur ce point que la CNIL ait fait « l'impasse sur ces efforts », sans prendre en compte « le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution ».

En mai 2021, la CNIL clôturait la procédure estimant que, pour ce cas spécifique, « les personnes se rendant sur le site google.fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site ». 

Mais l'histoire n'était pas vraiment terminée puisque Google ne s’est pas satisfait de cette sanction qu'elle a attaquée devant les juridictions administratives. 

Pas de « One-stop-shop » au profit de l'Irlande

Après un premier échec en référé le 4 mars 2021 – une procédure d’urgence, l’entreprise a poursuivi sa bataille « au fond ». Vainement… Vendredi, le Conseil d’État a refusé d’annuler la délibération. Pour savoir pourquoi, il faut revenir sur les différents arguments mis en avant.

D’entrée, le moteur a tout simplement contesté les compétences de la CNIL, considérant en substance que ce dossier aurait dû être traité intégralement par l’autorité irlandaise. Selon le RGPD, celle-ci endosse en effet la casquette de « chef de file » : Google y a son établissement en Europe et qu’il s’agit de traitements de données à caractère personnel transfrontaliers.

Le Conseil d’État va cependant valider la grille de lecture de la Commission et les conclusions du rapporteur public, non sans dresser un état des lieux des textes ici en jeu.

À droite, le RGPD qui prévoit effectivement ce système de guichet unique ou « One-stop-shop ». À gauche, la directive e-Privacy de 2002 qui concerne l’encadrement spécifique des cookies. Avec un pont entre ces deux rives : e-Privacy renvoie au RGPD le soin de définir les conditions de recueil du consentement des internautes.

Or, sur ce point, le Conseil d’État souligne que :

« Si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 »

En clair ? Le guichet unique ne fonctionne pas s’agissant du contrôle des cookies, dont le cœur relève de la directive e-Privacy et donc de la seule compétence des autorités nationales, soit la CNIL en France. Peu importe dès lors que le traitement soit national ou transfrontalier.

La même juridiction n’a pas jugé utile de saisir la Cour de justice de l’Union européenne de cette question, « en l’absence de tout doute raisonnable » et de « difficulté sérieuse ». Il faut dire que la décision rappelle à Google que la même CJUE a déjà tranché cette question, notamment dans un arrêt de juin 2021 concernant Facebook

Une sanction régulière

Google avait d’autres arguments dans sa besace. La société a soutenu que la procédure menée par la formation restreinte de la CNIL aurait méconnu les droits de la défense et le sacro-saint principe du contradictoire.

Des reproches là encore repoussés puisqu’entre le contrôle en ligne effectué le 16 mars 2020 et la décision finale, Google a fait valoir plusieurs fois ses réponses et autres observations. Et le Conseil d’État a rappelé qu’en vertu des textes en vigueur, « le prononcé d'une sanction n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable de traitement ou de son sous-traitant par le président de la CNIL ».

Dans la jungle de l’arborescence informationnelle de Google

S’agissant du manquement en lui-même, le Conseil d’État a rappelé l’arborescence informationnelle de Google.fr à l’époque des faits, dans un luxe de détail :

« Lorsqu'un utilisateur se rendait sur la page " google.fr ", sept cookies étaient automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site. Lors de l'arrivée sur la page " google.fr ", un bandeau d'information s'affichait en pied de page, contenant la mention " Rappel concernant les règles de confidentialité de Google ", en face de laquelle figuraient deux boutons intitulés " Me le rappeler plus tard " et " Consulter maintenant ".

En cliquant sur le bouton " Consulter maintenant ", l'utilisateur n'était pas informé des règles de confidentialité applicables aux cookies, ni de la possibilité de refuser qu'ils soient implantés sur son terminal.

Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l'un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton " autres options ". »

En août et septembre dernier, Google avait bien mis à jour ce bandeau, en proposant dans une fenêtre un choix aux utilisateurs entre « J’accepte » et « Plus d’informations ». Effort là encore insuffisant pour le Conseil d’État, pour qui « les indications ainsi fournies n'informent pas directement et explicitement l'utilisateur sur les finalités des cookies et les moyens de s'y opposer ». De même, un cookie publicitaire restait installé par défaut.

L’arrêt insiste : selon la loi de 1978, les utilisateurs doivent « faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer ». 

À la lecture des faits, la juridiction juge donc que « c'est à bon droit que, par une décision suffisamment motivée sur ce point et non entachée d'erreur d'appréciation, la formation restreinte de la CNIL a retenu que les faits exposés aux points précédents caractérisaient une absence d'information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d'opposition aux cookies ».

Et à Google qui se plaignait d’un cadre juridique non consolidé, le juge administratif rappelle en effet que la CNIL a défini des lignes directrices sur les cookies le 4 juillet 2019, lignes accompagnées de plusieurs communiqués explicatifs, où l'autorité a accordé une période d’adaptation aux responsables de traitement pour respecter les nouvelles règles d’opposition.

Cependant, la Commission avait bien expliqué qu’elle serait intraitable à l’encontre des responsables de traitements qui ne respecteraient pas les grands principes, antérieurs et donc indépendants de ces lignes (dernier paragraphe de ce communiqué).

La loi de 1978, souligne encore l’arrêt, « posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition ». La violation de ces grands principes était donc sans lien avec les reproches fondés sur un éventuel cadre juridique non consolidé.

Une sanction proportionnée

Le Conseil d’État va enfin estimer parfaitement proportionnée cette sanction de 100 millions d’euros (60 millions pour Google LLC et 40 millions pour Google Ireland).

Sans violer les textes, la CNIL a pu prendre en compte les 90 % de part de marché de Google, les 47 millions d’utilisateurs estimés, les bénéfices particulièrement importants produits par la publicité ciblée, et le manque de collaboration de Google, tout en restant en dessous des plafonds posés par les textes

« Les montants respectifs de 60 000 000 euros et 40 000 000 euros retenus pour chacune de ces sociétés [ne sont] pas disproportionnés au regard des capacités financières respectives de ces deux sociétés » a rétorqué l’arrêt. Lequel a validé le caractère public de la sanction, « compte tenu de la gravité du manquement en cause et du grand nombre d'utilisateurs concernés ».

En juillet 2021, la CNIL a été saisie de nouvelles plaintes. Elles portaient non comme ici sur le droit à l’information des internautes avant installation des cookies publicitaires, mais sur les modalités d’opposition s’agissant de Google.fr et YouTube.com. Après examen, la Commission a décidé d’infliger une amende de 150 millions d’euros (90 millions d’euros pour Google LLC, 60 millions pour Google Ireland).

Commentaires (14)


Je serais curieux de voir la liste des amendes que Google a réellement payées, et qui n’ont pas été annulées en appel.


ça, c’est comme les peines prévues par le “Code Civil”, entre…




  • prévue (15 ans) “encourue”

  • requise (10)

  • établie (réellement, avec les remises automatiques : 1 mois par année accomplie)
    au bout 5 ans, t’es libre–> ‘youpi’ !




(15 ans = 5 ans) :reflechis:


vizir67

ça, c’est comme les peines prévues par le “Code Civil”, entre…




  • prévue (15 ans) “encourue”

  • requise (10)

  • établie (réellement, avec les remises automatiques : 1 mois par année accomplie)
    au bout 5 ans, t’es libre–> ‘youpi’ !




(15 ans = 5 ans) :reflechis:


Ça ne se passe pas vraiment comme vous le décrivez. Voir par exemple, pour les sanctions pénales :



https://m.youtube.com/watch?v=zj-0bTnw4gQ


f_p_

Ça ne se passe pas vraiment comme vous le décrivez. Voir par exemple, pour les sanctions pénales :



https://m.youtube.com/watch?v=zj-0bTnw4gQ


tiens, tiens !
c’est même + généreux que je le pensai :
“réduction DE 3 MOIS la 1ère année” !!! :eeek2:


vizir67

ça, c’est comme les peines prévues par le “Code Civil”, entre…




  • prévue (15 ans) “encourue”

  • requise (10)

  • établie (réellement, avec les remises automatiques : 1 mois par année accomplie)
    au bout 5 ans, t’es libre–> ‘youpi’ !




(15 ans = 5 ans) :reflechis:


C’est parce que les peines inscrites dans la loi sont les peines maximales possibles. Charge ensuite au juge d’établir une peine en relation avec la gravité reconnue des faits et le profil du condamné (cas des récidives, etc).



Et contrairement à la croyance populaire colportée par de mauvais politiques, la Justice française n’est pas aussi laxiste qu’ils l’affirment.


C’est lié à ça le fait que maintenant, les cookies de Google ne durent que quelques heures tout au plus ?


La grosse popup a disparu de mon côté (navigateur vierge, sans bloqueur de pub).


La sanction était pleinement méritée, ça fait suffisamment longtemps que les sites doivent se mettre aux normes.



Maintenant j’attends la même chose contre les principaux sites français (sites de journaux…pour montrer que la loi est la même pour tout le monde et que ce n’est pas de l’antiaméricanisme primaire. :windu:



SomeDudeOnTheInternet a dit:


Je serais curieux de voir la liste des amendes que Google a réellement payées, et qui n’ont pas été annulées en appel.




Dans le cas des sanctions “CNIL”, il faut payer l’amende avant de faire appel. Donc pour les sanctions qui ont fait objet d’appel et pour lesquelles la sanction a été confirmée, l’argent est bien déjà dans les caisses de l’État.
https://www.cnil.fr/fr/cnil-direct/question/sanctions-ou-va-largent-lorsquune-sanction-pecuniaire-est-prononcee-par-la-cnil



SebGF a dit:


C’est parce que les peines inscrites dans la loi sont les peines maximales possibles.
Charge ensuite au juge d’établir une peine en relation avec la gravité reconnue des faits
et le profil du condamné (cas des récidives, etc).



Et contrairement à la croyance populaire colportée par de mauvais politiques, la Justice française n’est pas aussi laxiste qu’ils l’affirment.




oui..mais, à la ‘TV.’ ils INSISTENT sur ça !
pour nous faire croire qu’il va écoper du max., alors qu’au final…. :langue:
et puis, entre ça, et ‘certains avocats’ qui demandent, systématiquement, la relaxe
pour leur client, QUOI qu’il ait fait, histoire de se faire une renommée dans métier, en ayant
convaincu le Juge/jury, que leur client est ‘innocent’, alors qu’au vu des faits–> heu….




  • que tout-le-monde ait droit à une défense, ok., mais qu’on ‘pourquoi on minoré la peine’
    p.c.q. parfois on NE comprend pas (crimes odieux)* ?



  • enlevée, violée, torturé,brulée (pour effacer les traces)



…explique pourquoi ….


C’est parce que d’un côté t’as aussi la réquisition du Procureur de la République, et de l’autre le verdict final. Après il faut éviter de sombrer dans la caricature et imaginer que la justice française c’est les séries TV américaines. Notre système n’est pas le même.



Et faut pas prendre les grands procès médiatisés (et politisés par certains) pour représentatifs de l’ensemble de la population.


je suis contre la Peine-de-mort, car SI la Justice a condamné à tord
COMMENT veux-tu revenir en arrière (c’est trop tard) ?
mais, qu’on rétablisse LA VRAIE perpétué !
et, puisqu’il faut donner un chiffre : “allez disons 50 ans” !



actuellement “la perpétuité” c’est…25 ans avec Peine de sureté :reflechis:




  • quelqu’un âgé de 20 ans, qui ressort, et encore ‘bon-pour-le-service’ :eeek2:


Bon, maintenant il faut qu’ils rendent aussi facile de refuser les cookies non-essentiels que de les accepter.


Fermer