Dans un arrêt du 28 janvier 2022, le Conseil d'État confirme les légalité des deux amendes d'un montant total de 100 millions d'euros infligées à Google par la Commission nationale de l'informatique et des libertés (CNIL). Dans sa délibération du 7 décembre 2020, l'autorité indépendante avait en effet estimé que la firme n'avait pas respecté les obligations en matière de recueil préalable du consentement des utilisateurs pour le dépôt de cookies.
Rappelons qu'un cookie peut être rapidement défini, comme un petit fichier informatique, un traceur, déposé dans le système de l'utilisateur. Il permet de connaître ses consultations de sites internet, sa lecture de courriers électroniques, les logiciels ou applications qu'il installe. Google est évidemment un grand utilisateur de cookies, pratique qui lui permet de valoriser les données personnelles de ses utilisateurs en les vendant à diverses entreprises. Dans un contrôle réalisé au printemps 2020, la CNIL avait ainsi établi que 7 cookies
étaient automatiquement installés sur les ordinateurs des utilisateurs
dès leur arrivée sur le site Google, dont 4 qui n’avaient pas d'autre finalité que publicitaire.
Précisément, le droit français et européen impose le consentement des utilisateurs car les données auxquelles les cookies donnent accès sont des données personnelles. Mais Google s'est toujours efforcé de se soustraire à cette contrainte, estimant que les données personnelles de ses utilisateurs sont des biens de consommation, simple information qui peut se vendre et s'acheter. A cet égard, l'arrêt du 28 janvier 2022 a l'avantage de conforter un droit européen et français beaucoup plus protecteur de la vie privée que le droit américain. Il n'est donc guère surprenant que Google affirme depuis longtemps que ses activités relèvent du droit américain, et de lui seul.
La compétence de la CNIL
Cette revendication se heurte désormais au mur du droit européen. Les deux sociétés sanctionnées, Google LLC et Google Ireland Limited, estimaient que la CNIL n'était pas compétente pour leur infliger une sanction. A leurs yeux, cette procédure aurait dû être diligentée par le mécanisme de guichet unique européen organisé par le Règlement général de protection des données (RGPD). Il définit une autorité chef de file, chargée des questions transfrontières. Dans le cas présent, Google considérait que l'autorité chef de file était l'autorité irlandaise de protection des données. Nul n'ignore que les GAFA installent leur siège européen en Irlande, véritable paradis fiscal où l'impôt sur les sociétés ne dépasse pas 12, 5 % du chiffre d'affaires. Dans ces conditions, l'autorité irlandaise de protection des données n'est guère encline à prononcer des sanctions contre ces entreprises qui apportent au pays des revenus fiscaux importants. L'autorité de contrôle est alors plutôt une autorité d'absence de contrôle.
Certes, l'article 56 du RGPD prévoit la désignation d'une autorité chef de file, mais cette procédure ne concerne que les traitements transfrontaliers effectués par le responsable du traitement ou son sous-traitant. Mais, dans le cas présent, la CNIL n'a pas besoin de s'interroger sur le caractère transfrontalier ou non du système de gestion des cookies mis en oeuvre par Google.
La directive du 12 juillet 2002 vie privée et communications électroniques vient en effet offrir à la CNIL un fondement extrêmement solide à son pouvoir de sanction. Cette directive fait figure de texte spécial par rapport au RGPD, dans ce domaine particulier des communications électroniques. Aux termes de son article 5, "les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni (...) d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données". Cette obligation est reprise dans l'article 82 de la loi du 6 janvier 1978, et tout manquement peut susciter l'engagement d'une procédure de sanction. Aucun guichet unique et aucun chef de file ne sont alors prévus, puisque, précisément, ce n'est pas le RGPD qui s'applique.
Cette interprétation est celle affirmée à deux reprises par la Cour de justice de l'Union européenne (CJUE), d'abord dans son arrêt du 1er octobre 2019 Bundesverband des Verbraucherzentralen und Verbraucherverbände c. Planet 49 GmbH, puis dans son arrêt du 15 juin 2021 Facebook Ireland Ltd. Dans les deux cas, la CJUE affirme que le consentement au recueil de données personnelles ne saurait être exprimé au moyen d'une case pré-cochée. Et elle note que si la procédure de guichet unique a bien été prévue dans le RGPD pour les opérations de lecture et d'écriture dans le terminal d'un ordinateur, c'est la directive de 2002 qui s'applique pour les opérations d'accès et d'inscription d'informations. Le caractère transfrontalier ou non du fichier n'est pas une question pertinente dans ce cas. Cette jurisprudence est suffisamment solide pour que le Conseil d'État refuse à Google la saisine de la CJUE d'une question préjudicielle portant sur ce point.
Le Conseil d'État s'inscrit ainsi dans la ligne de la jurisprudence européenne. Mais cela ne signifie pas que, dans une hypothèse où la directive de 2002 ne serait pas applicable, il déclarerait la CNIL incompétente. Les articles 16 et 20 de la loi du 6 janvier 1978, dans son écriture postérieure au RGPD, autorisent en effet la Commission à prendre des sanctions à l'encontre des responsables de traitement qui ne respectent pas le texte européen. Cette disposition est suffisamment large pour faire de la CNIL l'autorité de contrôle du respect du droit européen en France.
Who took the cookie ? Nursery Rhyme
Le contrôle de proportionnalité
La suite de l'arrêt est sans grande surprise. Le Conseil d'État juge que les amendes infligées par la CNIL ne sont pas disproportionnées, compte tenu notamment de la manne financière que les cookies rapportent à Google. Le Conseil d'État observe à ce propos un véritable refus de coopération de l'entreprise, qui a toujours refusé de communiquer à la CNIL le montant de ses revenus publicitaires.
Cette persistance de Google dans son refus d'appliquer le droit européen apparaît aussi dans le caractère cosmétique des modifications apportées en matière de cookies.
Au moment où la procédure de sanction est engagée, 7 cookies étaient déposés sur son terminal dès que l'utilisateur accédait au site. Sur la page Google.fr, un bandeau s'affichait en pied de page, intitulé "Rappel des règles de confidentialité de Google". L'internaute avait alors le choix entre deux boutons, l'un intitulé "Me le rappeler plus tard", l'autre "Consulter maintenant". Le malheureux qui souhaitait "consulter" prenait alors connaissance d'un texte qui ne mentionnait ni les règles de confidentialités annoncées ni la possibilité de refuser les cookies. Pour parvenir à ces informations, il devait aller au bout d'une longue fenêtre de texte, surtout ne pas cliquer sur un des liens hypertextes proposés, et finalement choisir de cliquer sur un bouton "Autres options". Bien peu d'internautes devaient avoir cette patience ou cette curiosité.
Après l'engagement d'une procédure de sanction, Google a fait connaître sa volonté d'améliorer les choses. Depuis septembre 2020, l'internaute arrivant sur Google.fr voit s'ouvrir une fenêtre intitulée "Avant de continuer". Avec une information très succincte sur les cookies, deux boutons sont de nouveau proposés, l'un sobrement intitulé "J'accepte", l'autre proposant "Plus d'informations". Hélas, le Conseil d'État observe que les indications fournies n'explicitent toujours pas la finalité des cookies et ne disent toujours rien sur les moyens de s'y opposer.
Ce rappel très détaillé montre que la mauvaise volonté de Google et son refus de se plier au droit européen et français sont des éléments permettant au Conseil d'État de juger de la proportionnalité de la sanction. De même le juge valide-t-il sans davantage d'interrogation, la décision de la CNIL de rendre publique sa sanction.
Les sanctions contre Google commencent à s'accumuler, 100 millions d'Euros le 7 décembre 2020, puis 150 millions le 31 décembre 2021 pour les mêmes motifs de gestion des cookies. Le recours contre cette seconde sanction semble bien délicat si l'on considère le résultat du premier.
En l'état actuel des choses, il n'y a aucune raison pour que les sanctions ne continuent pas à se multiplier. On peut évidemment penser que le chiffre d'affaires du groupe Alphabet lui permet de surmonter facilement ces petits inconvénients. Mais Google a aussi d'autres soucis, en particulier une menace beaucoup plus grave venant directement des États-Unis. Après seize mois d'enquête, le département de la Justice ainsi que seize États américains ont décidé de ressortir le Sherman Antitrust Act de 1890. Ils accusent en effet Google d'avoir eu recours à des comportements concurrentiels pour dominer le secteur des moteurs de recherche. On pourrait voir dans cette action un premier pas vers le démantèlement du géant. Peut-être Google devrait-il songer qu'il est de son intérêt de mettre fin à son contentieux avec l'Europe pour mieux se consacrer à ces problèmes encore plus graves ? Même un géant des GAFA ne peut pas se battre sur tous les fronts à la fois.
Sur la protection des données : Chapitre 8 du Manuel