Par la suite, la CNIL s'est réunie en sa formation restreinte et a relevé trois violations à l’article 82 de la loi Informatique et Libertés :
- Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur : lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.
Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service. - Un défaut d’information des utilisateurs du moteur de recherche google.fr : lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».
Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».
La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser. - La défaillance partielle du mécanisme « d’opposition » : lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.
La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.
C'est pourquoi, en décembre 2020, la formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.
La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés. Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs. Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.
La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr. Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.
Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.
Le Conseil d'État se range du côté de la CNIL
Google (Google LLC et Google Ireland Limited) s'est saisi du Conseil d'État pour demander la suspension de l’exécution de la délibération de la formation restreinte de la CNIL.
Les sociétés soutiennent que :
- la condition d’urgence est satisfaite compte tenu du délai très réduit pour exécuter l’injonction, de l’impossibilité de respecter l’injonction compte tenu de l’incapacité de la mettre en œuvre dans un délai aussi court et de son caractère imprécis et du montant très élevé de l’astreinte qui atteint le maximum légal soit 100 000 euros par jour de retard ;
-  il existe un doute sérieux quant à la légalité de la décision litigieuse ;
-  la Commission nationale de l’informatique et des libertés n’était pas compétente pour édicter cette injonction alors que le mécanisme du guichet unique prévu par le chapitre VI du règlement général de la protection des données aurait dû être mis en œuvre ;
-  la décision est entachée d’erreur de droit et d’erreur de qualification juridique des faits en ce que la CNIL a considéré que sa compétence territoriale sur le fondement de l’article 3, paragraphe 1*de la loi Informatique et Libertés exclurait nécessairement l’application du guichet unique du règlement général de la protection des données alors que les traitements litigieux présentent un caractère transfrontalier, qu’ils entrent dans le champ d’application du règlement général de protection des données et que la société Google Ireland Limited est l’établissement principal de Google en Europe.
Après avoir convoqué à une audience publique, d’une part, les sociétés Google LLC et Google Ireland Limited, et d’autre part, la Commission nationale de l’informatique et des libertés, le juge des référés a décidé le 4 mars 2021 de rejeter la requête adressée par les sociétés Google LLC et Google Ireland Limited.
Les sociétés requérantes ne contestent pas que l’injonction litigieuse concerne le respect des obligations applicables aux « cookies » découlant de l’article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002. Mais elles soutiennent que la CNIL serait incompétente pour prononcer une telle injonction, cette compétence appartenant à l’autorité de contrôle de l’établissement principal du traitement en application du mécanisme dit du guichet unique prévu par l’article 56*du règlement du 27 avril 2016 aux termes duquel : « Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant ; conformément à la procédure prévue à l’article 60 ». En application de ces dispositions, elles estiment que l’autorité de contrôle compétente devrait être l’autorité irlandaise, la société Google Ireland Limited étant l’établissement principal de Google en Europe.
Dans sa décision, le Conseil d'État a indiqué que « les conditions de recueil du consentement de l’utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur. Ces dispositions ne prévoient pas, en revanche, l’application du mécanisme dit du guichet unique prévu à l’article 56*de ce règlement aux mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 qui relèvent de la compétence des États membres en application des dispositions de l’article 15 bis de cette directive. L’existence de ces dispositions spécifiques fait obstacle à ce que les dispositions du règlement du 27 avril 2016 sur le mécanisme du guichet unique puissent s’appliquer. »
Source : Conseil d'État (texte intégral)