La Cnil se félicite que le Conseil d’État ait validé sa sanction de 100 millions d’euros prononcée en 2020 contre Google, au travers de ses entités Google LLC et Google Ireland Limited. La Cnil reprochait à Google le dépôt de cookies publicitaires sur les PC des utilisateurs du moteur de recherche.
La Cnil est compétente pour sanctionner Google
Par une décision du 28 janvier 2022, le Conseil d’État a confirmé la compétence de la Cnil à prendre des sanctions sur les cookies en dehors du mécanisme de guichet unique. La décision fait suite à un recours des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED contre l’amende de 100 millions d’euros prononcée par la Cnil en décembre 2020.
Le 7 décembre 2020, la Cnil prononçait cette amende de 100 millions d’euros notamment pour le dépôt des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.
Les sociétés Google n’avaient pas respecté l’obligation de recueillir le consentement des internautes avant le dépôt des cookies
Ensuite, la Cnil avait estimé que le bandeau qui s’affichait en pied de page du moteur de recherche google.fr ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés sur le dépôt de cookies, en particulier sur les objectifs de ces cookies et les moyens pour les refuser. Enfin, la Cnil avait considéré que le mécanisme proposé par les sociétés pour refuser les cookies était partiellement défaillant.
Un cookie publicitaire demeurait sur le PC de l’utilisateur
En effet, lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google, un cookie publicitaire demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché. Par sa décision du 28 janvier 2022, la Cnil se réjouit que le Conseil d’État ait confirmé sa compétence à prendre des sanctions sur les cookies en dehors du mécanisme de guichet unique prévu par le RGPD et ainsi validé la sanction prononcée par la Cnil.
Le dépôt de cookies est encadré par la loi Informatique et Libertés
La Cnil retient également que le Conseil d’État a estimé que l’exclusion du système « guichet unique » en matière de cookies était suffisamment claire pour qu’il n’ait pas besoin de saisir la Cour de justice de l’Union européenne à titre préjudiciel, comme le lui demandaient les sociétés.
La Cnil s’appuie sur le Conseil d’État
Enfin, la Cnil se considère comme confirmée par le Conseil d’État sur les trois violations à l’article 82 de la loi Informatique et Libertés, c’est à dire le dépôt de cookies sans consentement préalable de l’utilisateur, le défaut d’information de l’utilisateur et la défaillance partielle du mécanisme proposé pour refuser les cookies. De plus, le Conseil d’État a estimé que le montant des amendes prononcées par la Cnil n’est pas disproportionné au regard des manquements, de la portée des traitements et des capacités financières des deux sociétés.