Décision du Conseil d’État de la République fran­çaise n°449212 du 4 mars 2021

Le 7 décembre 2020, la Commission Nationale de l’Informatique et des Libertés (CNIL) avait prononcé une sanc­tion de 60 millions d’euros à l’encontre de Google LLC et de 40 millions d’euros à l’encontre de Google Ireland Limited pour divers manque­ments à l’art. 82 de la loi Informatiques et Libertés (voir notre commen­taire publié sur swiss​pri​vacy​.law : Google condam­née à une amende de 100 millions d’euros par la CNIL).

Le 29 janvier 2021, Google LLC et Google Ireland Limited (ci-après : Google) ont déposé une requête auprès du juge des réfé­rés du Conseil d’État afin de suspendre l’exécution de la sanc­tion prévue dans la déli­bé­ra­tion de la forma­tion restreinte de la CNIL du 7 décembre 2020.

Dans sa requête, Google conteste prin­ci­pa­le­ment la compé­tence de la CNIL, dans la mesure où elle estime que le méca­nisme du « guichet unique » prévu par la RGPD (art. 56) est appli­cable, c’est-à-dire que la compé­tence pour pronon­cer une injonc­tion appar­tient à l’autorité de contrôle de l’établissement prin­ci­pal du trai­te­ment, soit en l’espèce l’autorité irlan­daise de protec­tion des données (Google Ireland Limited étant l’établissement prin­ci­pal de Google en Europe).

Par déci­sion du 4 mars 2021, le Juge des réfé­rés du Conseil d’État de la République fran­çaise a rejeté la requête diri­gée contre la déli­bé­ra­tion de la forma­tion restreinte de la CNIL du 7 décembre 2020 et a confirmé la compé­tence de la CNIL ainsi que l’inap­pli­ca­bi­lité du méca­nisme du « guichet unique ».

Dans sa déci­sion, le Juge des réfé­rés du Conseil d’État (le Juge) commence par rappe­ler que confor­mé­ment à l’art. 8 de la loi Informatiques et Libertés, la CNIL est l’au­to­rité de contrôle natio­nale au sens et pour l’ap­pli­ca­tion du RGPD. La CNIL veille à ce que les trai­te­ments de données à carac­tère person­nel soient mis en œuvre confor­mé­ment aux dispo­si­tions de la loi Informatiques et Libertés.

L’art. 16 de la loi Informatiques et Libertés prévoit que la forma­tion restreinte de la CNIL prend les mesures et prononce les sanc­tions à l’en­contre des respon­sables de trai­te­ments ou des sous-trai­tants qui ne respectent pas les obli­ga­tions décou­lant du RGPD. Le président de la CNIL  peut saisir la forma­tion restreinte en vue du prononcé d’une injonc­tion de mettre en confor­mité le trai­te­ment avec les obli­ga­tions résul­tant du RGPD (art. 20 de la loi Informatiques et Libertés).

Le Juge précise que la CNIL :

« est char­gée de veiller à la confor­mité de tout trai­te­ment de données rele­vant de son champ d’ap­pli­ca­tion, qu’il concerne ou non des données à carac­tère person­nel, à ses dispo­si­tions ainsi qu’aux obli­ga­tions résul­tant du règle­ment du 27 avril 2016 [RGPD]. Elle dispose, pour l’ac­com­plis­se­ment de ses missions, du pouvoir de mettre en œuvre ses préro­ga­tives selon les moda­li­tés qu’elle juge les plus appro­priées, y compris en recou­rant au prononcé d’une injonc­tion de mettre en confor­mité un trai­te­ment qui ne respecte pas les obli­ga­tions appli­cables aux « cookies » et autres traceurs de connexion décou­lant de l’ar­ticle 5, para­graphe 3, de la direc­tive 2002/​58/​CE du 12 juillet 2002 [Directive ePrivacy]. »

Le Juge rappelle égale­ment que l’art. 82 de la loi Informatique et Libertés, qui prévoit notam­ment que les accès ou inscrip­tions de cookies dans le termi­nal d’un utili­sa­teur ne peuvent avoir lieu qu’à la condi­tion que ce dernier y ait consenti après avoir reçu une infor­ma­tion claire et complète rela­tive aux fina­li­tés des cookies dépo­sés et des moyens dont il dispose pour s’y oppo­ser, est la trans­po­si­tion interne en droit fran­çais des dispo­si­tions de la Directive ePrivacy concer­nant l’utilisation des cookies.

Le Juge rappelle ensuite que confor­mé­ment à l’arrêt de la CJUE, C‑673/​17 du 1^er octobre 2019 (arrêt « Planet49 »), les condi­tions de recueil du consen­te­ment de l’utilisateur prévues dans le RGPD sont appli­cables aux opéra­tions de lecture et d’écriture dans le termi­nal de l’utilisateur lorsqu’il s’agit de données person­nelles (voir : David Rosenthal, Cookies  : comment la CJUE lutte-t-elle contre la menta­lité du «  cliquer et fermer sans regar­der  », in : www​.lawin​side​.ch/​8​83/).

Toutefois, le Juge estime que :

« ces dispo­si­tions ne prévoient pas, en revanche, l’ap­pli­ca­tion du méca­nisme dit du guichet unique prévu à l’ar­ticle 56 de ce règle­ment [RGPD] aux mesures de mise en œuvre et de contrôle de la direc­tive 2002/​58/​CE du 12 juillet 2002 [Directive ePrivacy] qui relèvent de la compé­tence des États membres en appli­ca­tion des dispo­si­tions de l’article 15 bis de cette direc­tive. L’existence de ces dispo­si­tions spéci­fiques fait obstacle à ce que les dispo­si­tions du règle­ment du 27 avril 2016 [RGPD] sur le méca­nisme du guichet unique puissent s’appliquer. »

Le Juge des réfé­rés du Conseil d’État conclut au rejet de la requête de Google et ne se prononce pas sur les autres argu­ments rela­tifs au carac­tère urgent de la demande invo­qués par Google.

Cette déci­sion confirme la déli­bé­ra­tion de la commis­sion restreinte de la CNIL du 7 décembre 2020, mais aussi l’articulation et la complé­men­ta­rité du RGPD et de la Directive ePrivacy lors de l’utilisation de cookies, ainsi que l’étendue de la compé­tence de la CNIL.

En paral­lèle, Google a annoncé dans son Ads and Commerce Blog le 3 mars 2021 qu’elle cesse­rait d’utiliser les third-party cookies lors de la navi­ga­tion des utili­sa­teurs sur le web pour vendre de la publi­cité d’ici à deux ans. Il sera inté­res­sant de suivre ces modi­fi­ca­tions, notam­ment afin d’analyser les alter­na­tives qui seront utili­sées par Google et propo­sées aux utilisateurs.