Cookies : la CNIL sanctionne Google et Amazon

À l’issue d’une procédure de contrôle, la CNIL a infligé une amende à l’encontre de Google LLC et Google Ireland Limited (ci-après « Google ») pour manquement à leur obligation d’information et pour consentement non valablement recueilli concernant les cookies et autres traceurs déposés sur le terminal des utilisateurs de son service Google Search. Le même jour, la même sanction a été infligée à l’encore d’Amazon pour son site web Amazon.fr. Les décisions étant relativement similaires, elles seront exposées conjointement sous le prisme de la décision Google.

L’utilisation des traceurs est régie par l’article 82 de la loi n° 78-17 du 6 janvier 1978, dite loi « Informatique et Libertés » (ci-après « LIL »), qui transpose l’article 5 de la directive ePrivacy (dir. 2002/58/CE du 12 juill. 2002, mod. dir. 2009/136/CE du 25 nov. 2009). Avant de prononcer une sanction pour ces manquements, la CNIL a dû s’interroger sur sa compétence. Quelques spécificités opposent les deux délibérations : l’une s’interroge sur la qualité de coresponsable de traitement des deux sociétés Google, tandis que l’autre, qui sera présentement écartée, rejette le moyen d’Amazon tendant à la violation du droit à un procès équitable.

Sur la compétence de la CNIL dans les délibérations Google et Amazon

La compétence de la CNIL face aux géants du numériques reste une question récurrente, ces derniers établissant leur siège à l’étranger. Concernant Google en particulier et à l’issue d’une plainte, la CNIL s’était déclarée compétente pour connaître de l’affaire et prononça sa sanction le 21 janvier 2019 (V. délib. SAN-2019-001, Dalloz actualité, 28 janv. 2019, obs. N. Maximin ; D. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 165, obs. E. Netter ). Était en cause la politique de confidentialité des services Android de Google en matière de publicité ciblée qui contrevenait aux obligations d’information et de transparence prévues par le RGPD, et qui par extension ne permettait pas de valablement recueillir le consentement des personnes concernées. Par un curieux raisonnement, la CNIL s’était déclarée compétente (V., E. Netter, Confirmation de la sanction Android : pressions sur les politiques de confidentialité, menaces sur la publicité ciblée, Dalloz IP/IT 2020. 693 ). Se fondant sur le considérant 36 du RGPD, la CNIL avait estimé que puisque Google n’avait pas d’établissement principal au sens de l’article 4, 16 du RGPD, le mécanisme d’autorité de chef de fil n’était pas applicable.

Ce raisonnement, quoi que validé par le Conseil d’Etat qui a refusé de transmettre une question préjudicielle à la CJUE sur cette difficulté (CE 12 juin 2020, n° 430810, Dalloz IP/IT 2020. 693, obs. E. Netter ), n’a pas été repris dans la présente affaire. Après avoir énoncé qu’en transposant l’article 5 de la directive ePrivacy – relatif aux traceurs – au sein de la LIL, le législateur a entendu désigner la CNIL comme autorité compétente (pt 27, interprétant CE 12 juin 2020, préc.), cette dernière considère que les mécanismes de contrôle et de sanction prévus par la directive ePrivacy prévalent sur le RGPD en cas d’application de l’article 82 de la LIL issu de cette transposition. Pour ce faire, elle constate, d’une part, que la directive ePrivacy prévoit que ses dispositions « précisent et complètent » la directive 95/46/CE devenue RGPD, et, d’autre part, que le considérant 173 du RGPD précise qu’il s’applique à la protection des données à caractère personnel qui n’est pas soumise à « des obligations spécifiques […] énoncées dans la directive [ePrivacy] » (pt 28, se fondant sur : CJUE 1^er oct. 2019, aff. C-673/17, pt 42, qui toutefois ne traite pas de l’articulation entre le RGPD et la dir. ePrivacy, mais entre la dir. 95/46/CE et le RGPD, qui s’appliquent « conjointement » avec la dir. ePrivacy, D. 2019. 1884 ; ibid. 2128, entretien J.-L. Sauron ; ibid. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 586, chron. C. Crichton ; ibid. 2020. 189, obs. F. Coupez et G. Péronne ; Légipresse 2019. 524 et les obs. ; ibid. 694, étude C. Thiérache et A. Gautron ; RTD eur. 2020. 320, obs. F. Benoît-Rohmer ).

Excluant le mécanisme du guichet unique prévu par le RGPD, la CNIL applique ainsi la directive ePrivacy, qui renvoie elle-même aux Etats membres le soin de déterminer les mécanismes de contrôle et de sanction (pt 29). En l’occurrence, l’article 82 transposant la directive ePrivacy étant dans la LIL, ce sont, selon la CNIL, les mécanismes de droit commun de la LIL qui s’appliquent. L’article 3, I, de la LIL dispose ainsi que, sans préjudice des traitements entrant dans le champ du RGPD, la LIL s’applique aux traitements « effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ». En l’espèce, la CNIL estime que les opérations de lecture et d’écriture d’informations dans le terminal de l’utilisateur – utilisation de cookies et autres traceurs – relèvent en France de l’activité de Google France (pts 41-45). En conséquence, la CNIL se déclare compétente pour les opérations effectuées sur le territoire français.

Le raisonnement est identique pour la délibération sanctionnant Amazon (pts 18-52).

Sur le responsable de traitement dans la délibération Google

A titre liminaire, la CNIL rappelle que la notion de responsable de traitement doit s’entendre au sens du RGPD par « le renvoi opéré par l’article 2 de la directive ePrivacy à la directive 95/46/CE sur la protection des données personnelles à laquelle s’est substitué le RGPD » (pt 50). Il est à noter que Google France n’apparaîtra plus dans les développements de la CNIL. Fort d’une jurisprudence désormais établie (ex. CJUE 10 juill. 2018, n° C-25/17, AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 1493 ; ibid. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2018. 698, obs. R. Perray et J. Uzan-Naulin ; RTD eur. 2019. 393, obs. F. Benoît-Rohmer ), la CNIL déclare que la société Google Ireland Limited est responsable de traitement en déterminant les moyens du traitement propre au territoire de l’Union, incluant donc la France (pts 53-56).

De plus, elle considère que Google LLC serait responsable conjoint du traitement en ce qu’il conçoit le moteur de recherche, y incluant la gestion des traceurs, qui est utilisé par les personnes situées dans le territoire de l’Union (pts 59-60). Elle relève également que certains membres des organes décisionnels de Google Ireland Limited sont des représentants de Google LLC, limitant son autonomie décisionnelle (pts 61-62). En outre, les moyens sont certes différents entre les deux firmes (ex. durée de conservation) mais la finalité, qui est déterminée par Google LLC, reste identique (pt 63). Enfin, quoi que le contrat stipule une relation de sous-traitance, la réalité démontrerait une relation de responsabilité conjointe (pt 64). Dans ces conditions, la CNIL en conclut que Google Ireland Limited et Google LLC sont responsables conjoints de traitement.

Sur les manquements reprochés à Google et à Amazon

Trois manquements sont constatés : obligation d’information, recueil du consentement avant le traitement, et opposition au traitement (délib. Google, pts 67-109 ; délib. Amazon, pts 77-111). Pour les deux sociétés, la CNIL relève que des cookies étaient déposés sur le terminal de l’utilisateur dès l’ouverture du site web, sans information préalable ni recueil du consentement.

Obligation d’information

L’article 82 de la LIL exige que la personne doit être informée « de manière claire et complète […] 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer » (transposition de dir. ePrivacy, art. 5, § 3 mod. par dir. 2009/136/CE, art. 2, § 5).

Pour l’affaire Google, la CNIL subdivise son analyse en fonction de la situation antérieure ou postérieure à l’engagement de la procédure de sanction. Avant celle-ci, un bandeau apparaissait en pied de page et permettait de consulter la politique de confidentialité. En consultant les règles de confidentialité, aucun développement relatif aux cookies n’apparaissait. Il était nécessaire de cliquer à nouveau sur « Autres options » figurant en bas de page, et non aux liens affichés préalablement « notre règlement », « En savoir plus », « Modifier les paramètres de recherche », « Modifier les paramètres des annonces » ou « Modifier les paramètres Youtube » (sur les dark patterns, V. J. Groffe-Charrier, La loi est-elle dictée par le code ?, Dalloz IP/IT 2020. 602). Ainsi, selon la CNIL, d’une part l’information n’était pas fournie avant le traitement, et d’autre part, l’architecture choisie pour délivrer l’information n’était pas claire.

Depuis l’engagement de la procédure de sanction, la CNIL souligne quelques efforts, comme la possibilité d’obtenir une information préalable à la poursuite de la navigation par l’affichage d’une fenêtre y afférent lors de l’ouverture du moteur de recherche (pts 86-87). Néanmoins, ces efforts sont insuffisants en ce que « l’information n’est pas claire et complète ». « L’utilisateur n’est notamment pas en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement - par exemple, s’il s’agit de publicité géolocalisée -, la nature exacte des services Google qui recourent à la personnalisation ni le fait que cette personnalisation opère entre ces différents services », énonce la CNIL (pt 90). De la sorte, les finalités et moyens ne sont pas suffisamment complets.

Pour l’affaire Amazon, la CNIL constate que « plus de 40 cookies poursuivant une finalité publicitaire étaient déposés sur le terminal de l’utilisateur » dès l’instant où il se rend sur une page du site web Amazon.fr (pt 87). L’information n’est donc pas préalable et viole ainsi l’article 82 de la LIL (pt 97). Sur le contenu de l’obligation d’information, la CNIL relève qu’elle est selon les cas « soit incomplète, soit inexistante » (pt 92) en ce que la finalité mentionnée concerne les seuls cookies qui permettent d’assurer le bon fonctionnement du site web (pt 94) et que les moyens dont dispose l’internaute pour refuser les cookies ne sont pas évoqués (pt 95).

Recueil préalable du consentement

L’article 82 de la LIL dispose que le stockage et la consultation des traceurs « ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement », hors stricte nécessité.

Concernant le moteur de recherche Google Search, sur les sept traceurs déposés dès l’affichage du moteur de recherche, quatre sont destinés à la publicité ciblée, ce qui contrevient à ces dispositions (pts 98-101). La CNIL relève néanmoins que depuis l’ouverture de la procédure, Google a cessé cette pratique (pt 102). Constat est fait que, contrairement à ses solutions antérieures, la CNIL ne fait plus mention de la définition du consentement telle qu’elle résulte de l’article 4, 11 du RGPD (reprise dans CNIL 17 sept. 2020, délib. n^os 2020-091 et 2020-092, lignes directrices et recommandation en matière de cookies et autres traceurs, Dalloz actualité, 7 oct. 2020, obs. Crichton. V. égal. CJUE 1^er oct. 2019, Planet49, aff. C-673/17, préc.). Son argumentation n’est dès lors plus divisée en fonction des critères du consentement – libre, spécifique, univoque, manifesté par un acte positif clair – et reste centrée sur le seul article 82 de la LIL.

Concernant le site Amazon.fr, les cookies visés sont des cookies publicitaires qui n’entrent pas dans le champ des exceptions relatives aux cookies essentiels. Il est donc nécessaire d’obtenir un consentement préalable, ce qui n’est pas le cas en l’espèce puisque ces traceurs étaient déposés « avant toute action de l’internaute, fût-ce une simple poursuite de la navigation » (pt 89).

Opposition ultérieure de l’utilisateur du moteur Google Search

La CNIL relève que le mécanisme d’opposition ultérieur par la personne concernée n’était pas suffisamment mis en valeur par Google (pt 105). En outre, quand bien même la personne aurait désactivé les cookies, il ressort des investigations de la CNIL que plusieurs des traceurs demeuraient stockés sur l’équipement terminal de l’utilisateur (pts 106-108), rendant le mécanisme partiellement défaillant.

Sanctions

Au vu des éléments qui précèdent, la CNIL prononce une amende administrative à l’encontre de Google de 100 millions d’euros (60 millions pour Google LLC et 40 millions pour Google Ireland Limited). Le montant de cette amende a été « significativement réduit » eu égard à la forte coopération avec la CNIL dont Google a fait preuve (pt 121), quoi que la CNIL semble faire volte-face en estimant que cette coopération ne peut devenir une « circonstance atténuante » en raison du fait que le groupe n’a « jamais communiqué aux services de la Commission les revenus publicitaires […] réalisés en France » (pts 133-135). Il est intéressant de relever que le montant reste élevé en raison de la position dominante de Google sur le marché de la recherche en ligne (pts 124-126). Il le reste également en raison des « capacités financières » du groupe (pt 139). Cette sanction est complétée par une injonction de mise en conformité sous astreinte (pts 140-145) et par la publicité de la décision (pts 146-148).

La sanction d’Amazon, 35 millions d’euros, est également aggravée eu égard notamment au nombre d’utilisateurs et au caractère sensible des données traitées (pts 120-123). À l’instar de la décision Google, la CNIL prononce également une injonction de mise en conformité et la publicité de la décision.