Contexte : A l’heure où se précisent les conditions de mise en œuvre du cadre règlementaire applicable aux traceurs et autres cookies, la CNIL vient rappeler à l’ordre des géants de la Tech (Google et Amazon) qui s’affranchissent trop souvent tant du RGPD que de la directive e-privacy transposée dans la LIL, faute de réforme par l’Arlésienne qu’est le règlement e-privacy tant attendu. Ces sanctions s’inscrivent dans un contexte où, quoique la CNIL construise la stratégie applicable en matière de traceurs informatiques, certaines dispositions antérieures sont d’ores et déjà applicables sans attendre le terme du 1er avril 2021 prévu dans ses lignes directrices[1] et recommandations[2] adoptées le 17 septembre 2020 pour la mise en conformité des opérateurs (pour plus de détails, voir notre analyse des prescriptions de la CNIL ici).
C’est en effet sur le fondement de la directive e-privacy de 2002[3] transposée à l’article 82 de la Loi informatique et libertés, que la formation restreinte de la CNIL a prononcé le 7 décembre 2020 une sanction de 100 millions d’euros à l’encontre de Google et de 35 millions d’euros à l’encontre d’Amazon Europe Core, société du groupe Amazon, et la publication des décisions. Ces sanctions s’inscrivent dans la lignée de l’amende de 50 millions d’euros prononcée en 2019 à l’encontre Google au titre du défaut de transparence, de non-respect de son obligation d’information et de défaut de fondement légal du traitement des données[4] en violation du RGPD et attestent de la volonté de la CNIL d’imposer aux acteurs du secteur une mise en conformité à marche forcée.
Tout d’abord, la compétence de la CNIL mérite d’être précisée. Alors que le RGPD, au titre du mécanisme de coopération, institue un système de « guichet unique », selon lequel les contentieux relatifs aux données personnelles sont gérés par l’autorité de contrôle du lieu où la société a son établissement principal en Europe (par exemple au Luxembourg pour Amazon Europe Core) - ce qui a d’ailleurs conduit Google à contester la compétence de la CNIL en 2019[5] - la directive e-privacy donne compétence à chaque État membre pour contrôler la pratique des cookies. C’est pourquoi la CNIL, se fondant judicieusement sur la directive, sa transposition dans la LIL et le critère de compétence territoriale de celle-ci, s’est estimée matériellement et territorialement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France.
Les manquements à la LIL. Ensuite, sur le fond, opérant un contrôle de proportionnalité tenant compte de la gravité des manquements, du volume d’utilisateurs, de l’immense portée des pratiques, du bénéfice considérable généré par les publicités et de la mise à jour récente (mais insuffisante) de leur système par les sociétés, c’est un triple manquement à la réglementation relatives aux cookies que la CNIL condamne :
- Une collecte de cookies automatique et sans le consentement préalable des utilisateurs lors de la simple navigation sur les sites google.fr et amazon.fr.
- Un défaut d’information des utilisateurs : les informations fournies ni claires, ni complètes, singulièrement celles mentionnées dans le bandeau d’information, ne permettaient pas de comprendre que les cookies avaient pour principal objectif l’affichage des publicités personnalisées.
- Une défaillance du mécanisme d’opposition à la collecte pour google.fr et une collecte sans aucune information après redirection vers amazon.fr en cliquant sur une annonce.
En complément de l’amende administrative, la CNIL a également adopté une injonction sous astreinte journalière de 100 000 euros passé un délai de 3 mois pour que les sociétés procèdent à l’information des personnes. Ces sanctions exemplaires sauront, c’est à espérer, inspirer l’ensemble des acteurs du numérique à revoir leurs pratiques.
*
[1] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 [2] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » [3] Directive 2002/58/CE du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques, transposée à l’article 82 de la loi Informatique et Libertés [4] Délibération SAN-2019-001 du 21 janvier 2019 [5] Google avait contesté dans la précédente affaire (SAN-2019-001) la compétence de la CNIL au profit de l’autorité irlandaise de contrôle, argüant que Google Ireland devait être considéré comme l’établissement principal de Google et que la CNIL ne pouvait être désignée comme l’autorité chef de file. La CNIL, pour retenir sa compétence, avait retenu que la notion d’établissement principal doit s’apprécier au regard des circonstances d’espèce, et que cela ne correspond pas toujours nécessairement au siège social européen d’une multinationale, conformément aux lignes directrices du Comité européen de protection des données (CEPD) du 5 avril 2017 relatives à la désignation d’une autorité chef de file. Pour la CNIL, Google Ireland n’a aucun pouvoir décisionnel sur les traitements de données personnelles couverts par la politique de confidentialité de Google. C’est ainsi uniquement en l’absence d’un tel établissement principal, qui aurait permis l’identification d’une autorité chef de file, que la CNIL a pu se déclarer compétente.