Lors d’un contrôle effec­tué sur le site web google​.fr le 16 mars 2020, la CNIL constate que lorsqu’un utili­sa­teur rési­dant en France se rend sur le site, des cookies, notam­ment publi­ci­taires, sont auto­ma­ti­que­ment dépo­sés sur son ordi­na­teur, sans son consen­te­ment. En effet, lorsqu’un utili­sa­teur arrive sur le site web google​.fr, un bandeau d’information s’affiche en pied de page, mention­nant un rappel aux règles de confi­den­tia­lité de Google et offrant deux choix à l’utilisateur :  « me le rappe­ler plus tard » ou « consul­ter maintenant ».

Lorsque l’utilisateur opte pour « consul­ter main­te­nant », les règles de confi­den­tia­lité qui s’ouvrent dans une fenêtre pop-up ne contiennent aucun déve­lop­pe­ment rela­tif à l’usage des cookies et autres traceurs, malgré une infor­ma­tion géné­rale rela­tive aux données à carac­tère person­nel trai­tées par les services Google. Pour avoir accès aux infor­ma­tions rela­tives aux cookies, l’utilisateur doit faire défi­ler le contenu des fenêtres pop-up, sans cliquer sur l’un des liens hyper­texte et sélec­tion­ner « autres options ».

La forma­tion restreinte, organe de la CNIL chargé de pronon­cer les sanc­tions (art. 16 de la loi Informatique et Libertés), reproche à Google LLC et Google Ireland Limited (ci-après : Google) trois viola­tions de l’art. 82 de la loi Informatique et Libertés, à savoir un défaut d’information des utili­sa­teurs, un défaut de recueil du consen­te­ment des personnes avant le dépôt de cookies sur leur termi­nal et un défaut partiel du méca­nisme d’opposition au dépôt des cookies.

Défaut d’information des utilisateurs 

L’art. 82 de la loi Informatique et Libertés prévoit notam­ment que les accès ou inscrip­tions de cookies dans le termi­nal d’un utili­sa­teur ne peuvent avoir lieu qu’à la condi­tion que ce dernier y ait consenti après avoir reçu une infor­ma­tion claire et complète rela­tive aux fina­li­tés des cookies dépo­sés et des moyens dont il dispose pour s’y opposer.

Au surplus, le consi­dé­rant 25 de la Directive ePrivacy, ainsi que les instru­ments de soft law adop­tés par la CNIL en matière de cookies et autres traceurs (une Recommandation et des Lignes direc­trices) offrent un éclai­rage aux respon­sables de trai­te­ment sur la mise en place de mesures concrètes permet­tant de garan­tir le respect des dispo­si­tions de la loi Informatique et Libertés.

En l’espèce, la CNIL retient qu’aucune infor­ma­tion rela­tive au dépôt de cookies sur le termi­nal n’est four­nie aux utili­sa­teurs dès leur première connexion sur le site web google​.fr, alors même que des cookies ayant une fina­lité publi­ci­taire ont déjà été dépo­sés sur leur termi­nal. Elle ajoute que le simple renvoi aux règles de confi­den­tia­lité n’est pas suffi­sam­ment expli­cite à ce stade pour permettre aux personnes lisant ce bandeau de savoir qu’une infor­ma­tion rela­tive aux cookies est dispo­nible ulté­rieu­re­ment dans le parcours de navigation.

De plus, la CNIL relève que les mesures entre­prises par Google depuis l’engagement de la procé­dure ont certes amélioré l’information des utili­sa­teurs. Toutefois, elle consi­dère que les infor­ma­tions four­nies à l’utilisateur, tant par le bandeau que par les fenêtres pop-up, ne sont toujours pas claires et complètes, dans la mesure où ce dernier n’est pas informé des opéra­tions permet­tant d’ac­cé­der et de dépo­ser des infor­ma­tions dans son termi­nal ni de la fina­lité de ces opéra­tions et des moyens mis à sa dispo­si­tion pour les refuser.

Défaut de recueil du consen­te­ment des utili­sa­teurs avant le dépôt de cookies sur leur terminal

L’art. 82 de la loi Informatique et Libertés prévoit des excep­tions à l’obligation d’obtenir le consen­te­ment préa­lable des utili­sa­teurs, si l’ac­cès ou l’inscription d’informations stockées dans l’équi­pe­ment termi­nal de l’uti­li­sa­teur vise à permettre ou faci­li­ter la commu­ni­ca­tion par voie élec­tro­nique ou est stric­te­ment néces­saire à la four­ni­ture d’un service de commu­ni­ca­tion en ligne à la demande expresse de l’utilisateur.

La CNIL constate que quatre des sept cookies auto­ma­ti­que­ment instal­lés sur le termi­nal de l’utilisateur ne sont pas stric­te­ment néces­saires à la four­ni­ture d’un service en en ligne. Partant, Google aurait dû recueillir le consen­te­ment préa­lable de l’utilisateur avant de procé­der à un tel dépôt.

Depuis la procé­dure de sanc­tion, Google a apporté des modi­fi­ca­tions et a cessé l’installation auto­ma­tique de ces quatre cookies publi­ci­taires dès l’arrivée de l’utilisateur sur la page.

Défaut partiel du méca­nisme d’opposition au dépôt des cookies

Outre le fait que le consen­te­ment, lorsqu’il est requis, n’est pas recueilli, le proces­sus d’opposition mis en place par Google viole partiel­le­ment les exigences de l’art. 82 de la loi Informatique et Libertés.

En effet, la CNIL relève que l’utilisation de l’expression « reti­rer son consen­te­ment » est abusive dans la mesure où le consen­te­ment n’a juste­ment pas été recueilli par Google, qui propose tout au plus un système de retrait (opt-out) aux utilisateurs.

De plus, la CNIL constate qu’après avoir désac­tivé la person­na­li­sa­tion des annonces sur la recherche Google, plusieurs cookies à fina­lité publi­ci­taire demeurent stockés sur le termi­nal de l’utilisateur. Elle souligne, à cet égard, qu’au moins l’un de ces cookies n’appartient pas à la caté­go­rie des cookies dit d’opposition, lesquels demeurent stockés sur le termi­nal de l’utilisateur afin d’indiquer au serveur du domaine auquel ils sont liés que l’utilisateur a exprimé son refus à des dépôts futurs de cookies iden­tiques à partir de ce même domaine. Partant, les infor­ma­tions qu’il contient conti­nuent d’être systé­ma­ti­que­ment lues par le serveur du domaine auquel est lié le cookie lors de chaque nouvelle inter­ac­tion avec le domaine concerné.

En paral­lèle des viola­tions de l’art. art. 82 de la loi Informatique et Libertés, la CNIL a égale­ment dû se pronon­cer sur sa compé­tence maté­rielle et terri­to­riale, sur l’articulation entre le RGPD et la Directive ePrivacy, ainsi que sur la qualité de respon­sable de trai­te­ment de Google.

Elle est ainsi arri­vée aux conclu­sions suivantes :

• Lorsqu’un trai­te­ment de données relève tant du champ d’application maté­riel du RGPD que de la Directive ePrivacy, il convient de se réfé­rer aux dispo­si­tions rela­tives à leur arti­cu­la­tion dans chacun des deux textes. Le consi­dé­rant 173 du RGPD prévoit expli­ci­te­ment qu’il n’est pas appli­cable aux trai­te­ments de données à carac­tère person­nel qui sont soumis à des obli­ga­tions spéci­fiques énon­cées dans la Directive ePrivacy.
• Les trai­te­ments de données liés à l’utilisation de cookies relèvent du champ d’application de la Directive ePrivacy, trans­po­sée en droit fran­çais à l’ 82 de la loi Informatique et Libertés.
• Dans les mesure où le RGPD n’est pas appli­cable aux trai­te­ments de données engen­drés par l’utilisation de cookies (prévus dans la Directive ePrivacy), le méca­nisme de coopé­ra­tion entre les auto­ri­tés de contrôle, dit méca­nisme de « guichet unique » prévu par le RGPD n’est pas appli­cable en l’espèce.
• La CNIL consi­dère que Google Ireland Ltd et Google LLC sont respon­sables conjoint du trai­te­ment au sens de l’art. 26 RGPD (appli­cable en raison de l’uti­li­sa­tion de la notion de respon­sable de trai­te­ment à l’art. 82 de la loi Informatique et Libertés).

Cette déci­sion clari­fie l’ar­ti­cu­la­tion et la complé­men­ta­rité du RGPD et de la Directive ePrivacy en matière de protec­tion des données person­nelles dans le cadre de l’uti­li­sa­tion de cookies.  La déci­sion rappelle égale­ment les règles essen­tielles prévues à l’art. 82 de la loi Informatique et Libertés lors de l’utilisation de cookies.

Elle est suscep­tible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à comp­ter de sa notification.