Délibération SAN-2020-012 du 7 décembre 2020

Délibération de la formation restreinte no SAN-2020-012 du 7 décembre 2020 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Dominique CASTERA, Anne DEBET et Christine MAUGÜE, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants;

Vu l’ordonnance n° 2014-1329 du 6 novembre 2014 relative aux délibérations à distance des instances administratives à caractère collégial ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision no 2020-072C du 15 mars 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements accessibles depuis le domaine google.fr ou portant sur des données à caractère personnel collectées à partir de ce dernier ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 8 juin 2020 ;

Vu l’audition des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED dans les locaux de la CNIL, le 22 juillet 2020 ;

Vu le rapport de Monsieur Bertrand du MARAIS, commissaire rapporteur, notifié aux sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED le 12 août 2020 ;

Vu les observations écrites versées par les conseils des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED le 25 septembre 2020 ;

Vu la réponse du rapporteur à ces observations notifiée le 9 octobre 2020 aux conseils des sociétés ;

Vu les observations écrites versées par les conseils des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED reçues le 26 octobre 2020 ;

Vu les observations orales formulées lors de la séance de la formation restreinte ;

Vu la note en délibéré du 2 décembre 2020 adressée par les conseils des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED au président de la formation restreinte ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 12 novembre 2020 :

- Monsieur Bertrand du MARAIS, commissaire, entendu en son rapport ;

En qualité de représentants des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED :

- […]

En qualité d’interprètes des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED :

- […]

Les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. La société GOOGLE LLC est une société à responsabilité limitée ayant son siège social en Californie (Etats-Unis). Depuis sa création en 1998, elle a développé de nombreux services à destination des particuliers et des entreprises, tels que le moteur de recherche Google Search, la boite de courrier électronique Gmail ou encore le service de cartographie Google Maps et la plateforme de vidéos YouTube. Elle possède plus de 70 bureaux implantés dans une cinquantaine de pays et employait en 2019 plus de 110 000 personnes à travers le monde. Depuis août 2015, elle est une filiale détenue à 100% par la société ALPHABET Inc., maison-mère du groupe GOOGLE.

2. En 2019, la société ALPHABET Inc. a réalisé un chiffre d’affaires de plus de 161 milliards de dollars, tandis que la société GOOGLE LLC a réalisé un chiffre d’affaires de plus de 160 milliards de dollars. […]

3. La société GOOGLE IRELAND LIMITED (ci-après la société GIL ) se présente comme étant le siège du groupe GOOGLE pour ses activités dans l’Espace économique européen (ci-après EEE ) et en Suisse. Etablie à Dublin (Irlande), elle emploie environ 9 000 personnes. En 2018, elle a réalisé un chiffre d’affaires de plus de 38 milliards d’euros.

4. La société GOOGLE FRANCE SARL est l’établissement français du groupe GOOGLE. Filiale détenue à 100 % par la société GOOGLE LLC, son siège social est situé à Paris (France). En 2018, elle employait environ 1 400 salariés et avait réalisé un chiffre d’affaires de plus de 400 millions d’euros.

5. En application de la décision n° 2020-072C du 15 mars 2020 de la présidente de la Commission, les services de la CNIL ont procédé à un contrôle en ligne, le 16 mars 2020, sur le site web google.fr .

6. Cette mission avait notamment pour objet de vérifier le respect, par les sociétés GOOGLE LLC et GIL (ci-après les sociétés ), de l’ensemble des dispositions dela loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi informatique et libertés ) et notamment de son article 82.

7. Dans le cadre du contrôle en ligne, la délégation a ainsi pu constater que lorsqu’un utilisateur se rend sur la page google.fr , plusieurs cookies sont automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site. Le 16 mars 2020, la délégation a notifié aux sociétés le procès-verbal dressé dans le cadre du contrôle en ligne, en leur demandant, notamment, de lui préciser les finalités des différents cookies dont le dépôt avait été constaté.

8. Par courrier du 30 avril 2020, la société GIL a répondu en son nom à cette dernière demande tout en estimant que la CNIL n’avait pas la compétence pour contrôler le site web google.fr .

9. Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné Monsieur Bertrand du MARAIS en qualité de rapporteur, le 8 juin 2020, sur le fondement de l’article 22 de la loi informatique et libertés .

10. Par courrier du 29 juin 2020, les sociétés ont été convoquées à une audition le 15 juillet suivant, en application de l’article 39 du décret n° 2019-536 du 29 mai 2019. Sur demande des sociétés, le rapporteur a accepté, par courrier du 9 juillet suivant, un report de l’audition au 22 juillet 2020.

11. Au cours de l’audition du 22 juillet 2020, qui a donné lieu à un procès-verbal signé par l’ensemble des parties présentes, les sociétés ont notamment fourni des réponses aux questions du rapporteur relatives à la détermination du responsable du traitement concernant le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search.

12. Par courrier du 29 juillet 2020, la société GIL a répondu à plusieurs des demandes complémentaires formulées par le rapporteur à l’issue de l’audition du 22 juillet 2020, en fournissant, notamment, le contrat de sous-traitance du 11 décembre 2018 conclu avec la société GOOGLE LLC. Elles n’ont, en revanche, pas produit les revenus de la société GIL issus de l’activité de google.fr et de GOOGLE FRANCE au titre de sa commission d’apporteur d’affaires, pourtant demandés par le rapporteur.

13. À l’issue de son instruction, le 12 août 2020, le rapporteur a fait signifier en main propre aux conseils des sociétés et par courrier électronique à leurs représentants un rapport détaillant le manquement à la loi informatique et libertés qu’il estimait constitué en l’espèce.

14. Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions de l’article 82 de la loi informatique et libertés , assortie d’une astreinte, ainsi qu’une amende administrative à l’encontre des deux sociétés. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

15. Le 18 août 2020, par l’intermédiaire de leurs conseils, les sociétés ont formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos, demande qui a été rejetée par le président de la formation restreinte par courrier du 23 septembre 2020.

16. Le 25 septembre 2020, les sociétés ont produit des observations en réponse au rapport de sanction.

17. Le rapporteur a répondu aux observations des sociétés le 9 octobre 2020.

18. Par courrier électronique du 15 octobre 2020, les sociétés ont sollicité une extension du délai de quinze jours prévu par l’article 40 du décret n° 2019-536 du 29 mai 2019 pour produire des observations en duplique, demande qui a été rejetée par le président de la formation restreinte par courrier du 16 octobre 2020.

19. Le 26 octobre 2020, les sociétés ont produit de nouvelles observations en réponse à celles du rapporteur.

20. Les sociétés et le rapporteur ont présenté des observations orales lors de la séance de la formation restreinte.

21. Par courrier électronique du 2 décembre 2020, les sociétés ont adressé une note en délibéré au président de la formation restreinte.

II. Motifs de la décision

A. Sur la compétence de la CNIL

1. Sur la compétence matérielle de la CNIL et l’applicabilité du mécanisme de guichet unique prévu par le RGPD

22. Les dispositions de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après la directive ePrivacy ) relatives au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ont été transposées en droit interne à l’article 82 de la loi informatique et libertés , au sein du chapitre IV Droits et obligations propres aux traitements dans le secteur des communications électroniques de cette loi.

23. Aux termes de l’article 16 de la loi informatique et libertés , la formation restreinte prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi . Aux termes de l’article 20, paragraphe III, de cette même loi, lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l'informatique et des libertés […] peut saisir la formation restreinte .

24. Le rapporteur considère que la CNIL est matériellement compétente en application de ces dispositions pour contrôler et sanctionner les opérations d’accès ou d’inscription d’informations mises en œuvre par les sociétés dans les terminaux des utilisateurs du moteur de recherche Google Search résidant en France.

25. Les sociétés reconnaissent que les faits de la présente procédure relèvent matériellement de la directive ePrivacy mais estiment qu’elle devraient se voir appliquer le cadre procédural prévu par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ), c’est-à-dire le mécanisme de coopération entre les autorités de contrôle, dit mécanisme de guichet unique , prévu au chapitre VII du Règlement. En application de ce mécanisme, l’autorité de contrôle compétente pour connaitre des faits en cause ne serait pas la CNIL mais l’autorité de protection des données irlandaise, la Data Protection Commissionner (ci-après la DPC ), qui devrait agir en qualité d'autorité chef de file à l’égard du déploiement des cookies par la société GOOGLE IRELAND LIMITED, celle-ci étant compétente selon les sociétés aussi bien au titre du RGPD que de la directive ePrivacy.

26. À ce soutien, les sociétés invoquent, notamment, l’adage specialia generalibus derogant en vertu duquel, selon elles, l'absence de règles spécifiques relatives à la détermination de la compétence de l’autorité de contrôle en cas de traitements transfrontaliers dans la directive ePrivacy devrait se voir suppléée par l’application du cadre procédural prévu par le RGPD. Elles soutiennent qu’une lecture téléologique des travaux préparatoires du RGPD et de ses considérants abonderait dans le même sens. Elles ajoutent que l’exclusion du mécanisme de guichet unique à la présente espèce contribuerait à la fragmentation de la règlementation européenne en matière de données à caractère personnel relative aux cookies, fragmentation qui se vérifierait déjà par le fait que plusieurs autorités de contrôle (les autorités française, britannique et espagnole) aient adopté des lignes directrices voire des politiques répressives divergentes à l’égard de ces dispositifs.

27. La formation restreinte relève, tout d’abord, qu’il ressort des dispositions citées ci-avant que le législateur français a chargé la CNIL de veiller au respect, par les responsables de traitement, des dispositions de la directive ePrivacy transposées à l’article 82 de la loi informatique et libertés , en lui confiant notamment le pouvoir de sanctionner toute méconnaissance de cet article. Elle souligne que cette compétence a été reconnue par le Conseil d’Etat dans sa décision Association des agences-conseils en communication du 19 juin 2020 concernant la délibération de la CNIL no 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur, dès lors que ce dernier a relevé que l’article 20 de cette loi confie à son président [de la CNIL] le pouvoir de prendre les mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d’être prononcées (CE, 19 juin 2020, req. 434684, pt. 3).

28. Elle relève, ensuite, que lorsqu’un traitement relève à la fois du champ d’application matériel de la directive ePrivacy et du champ d’application matériel du RGPD, il convient de se référer aux dispositions pertinentes des deux textes qui prévoient leur articulation. Ainsi, l’article 1er paragraphe 2 de la directive ePrivacy dispose que les dispositions de la présente directive précisent et complètent la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 sur la protection des données personnelles (ci-après la directive 95/46/CE sur la protection des données personnelles ), étant rappelé que depuis l’entrée en application du Règlement, les références faites à cette dernière directive doivent s’entendre comme faites au RGPD, conformément à l’article 94 de ce dernier. De même, il ressort du considérant 173 du RGPD que ce texte prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel soumis à des obligations spécifiques ayant le même objectif [de protection des libertés et droits fondamentaux] énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques . Cette articulation a été confirmée par la Cour de justice de l’Union européenne (ci-après CJUE) dans sa décision Planet49 du 1er octobre 2019 (CJUE, 1er octobre 2019, C‑673/17, pt. 42).

29. À cet égard, la formation restreinte relève que, contrairement à ce que soutiennent les sociétés, la directive ePrivacy prévoit bien, pour les obligations spécifiques qu’elle comporte, son propre mécanisme de mise en œuvre et de contrôle de son application au sein de son article 15bis. Ainsi, le premier paragraphe de cet article laisse aux Etats membres la compétence pour déterminer le régime des sanctions, y compris des sanctions pénales s’il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en œuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l’infraction, même si celle-ci a été ultérieurement corrigée . Or la règle posée au 3 de l’article 5 de la directive ePrivacy , selon laquelle les opérations de lecture et d’écriture doivent systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information, constitue une règle spéciale au regard du RGPD puisqu’elle interdit de se prévaloir des bases légales mentionnées à l’article 6 qui ne requièrent pas un accord de l’utilisateur pour pouvoir licitement procéder à ces opérations de lecture et d’écriture sur le terminal. Le contrôle de cette règle relève donc bien du mécanisme spécial de contrôle et sanction prévu par la directive ePrivacy et non des autorités de protection de données et du CEPD en application du RGPD. C’est par un choix propre que le législateur en France a confié cette mission à la CNIL.

30. De plus, le deuxième paragraphe du même article oblige les Etats membres à veiller à ce que l’autorité nationale compétente et, le cas échéant, d’autres organismes nationaux aient le pouvoir d’ordonner la cessation des infractions visées au paragraphe 1 .

31. La formation restreinte estime que ces dernières dispositions excluent en tant que telles l’application du mécanisme de guichet unique prévu par le RGPD à des faits relevant de la directive ePrivacy .

32. Elle ajoute, par ailleurs, que cette exclusion est corroborée par le fait que les États membres, qui sont libres de déterminer l’autorité nationale compétente pour connaître des violations des dispositions nationales prises en application de la directive ePrivacy , peuvent avoir attribué cette compétence à une autorité autre que leur autorité nationale de protection des données instituée par le RGPD, en l’occurrence à leur autorité de régulation des télécommunications. Dès lors, dans la mesure où ces dernières autorités ne font pas partie du Comité européen à la protection des données (ci-après CEPD ), alors que ce comité joue une fonction incontournable dans le mécanisme de contrôle de la cohérence mis en œuvre au chapitre VII du RGPD, il est de fait impossible d’appliquer le guichet unique à des pratiques susceptibles d’être sanctionnées par des autorités de contrôle nationales ne siégeant pas au sein de ce comité.

33. Elle souligne que le CEPD partage d’ailleurs la même interprétation, ayant notamment précisé, dans son avis n° 5/2019 du 12 mars 2019 relatif aux interactions entre la directive vie privée et communications électroniques et le RGPD, que les mécanismes du RGPD ne s’appliquent pas au contrôle de l’application des dispositions de la directive vie privée et communications électroniques en tant que tel (pt. 80, traduction libre).

34. Enfin, la formation restreinte note que l’éventuelle application du mécanisme de guichet unique à un traitement encadré par la directive ePrivacy fait en ce moment l’objet de nombreuses discussions dans le cadre de l’élaboration du projet de règlement ePrivacy en cours de négociation depuis trois ans au niveau européen. Elle remarque que l’existence même de ces débats confirme qu’en l’état le mécanisme de guichet unique prévu par le RGPD n’est pas applicable pour les matières régies par l’actuelle directive ePrivacy . Elle souligne que l’avis du CEPD du 19 novembre 2020, invoqué par les sociétés dans leur note en délibéré du 2 décembre 2020, corrobore cette analyse dès lors que dans cet avis le CEPD se borne à appeler de ses vœux l’application du guichet unique au futur règlement, preuve qu’en l’état du droit positif, ce mécanisme ne s’applique pas aux dispositions cookies de la directive ePrivacy en vigueur.

35. Il résulte de ce qui précède que le mécanisme de guichet unique prévu par le RGPD n’est pas applicable à la présente procédure et que la CNIL est compétente pour contrôler et sanctionner les traitements mis en œuvre par les sociétés relevant du champ d’application de la directive ePrivacy , sous réserve qu’ils se rattachent à sa compétence territoriale.

2. Sur la compétence territoriale de la CNIL

36. La règle d’application territoriale des exigences fixées à l’article 82 de la loi informatique et libertés est fixée à l’article 3, paragraphe I, de la loi informatique et libertés qui dispose : sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement (…) sur le territoire français, que le traitement ait lieu ou non en France .

37. Le rapporteur considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search, notamment à des fins publicitaires, est effectué dans le cadre des activités de la société GOOGLE FRANCE, qui constitue l’établissement sur le territoire français du groupe GOOGLE.

38. Les sociétés soutiennent que dans la mesure où il conviendrait de faire application des règles de compétence et des procédures de coopération définies au RGPD, la CNIL ne disposerait pas de la compétence territoriale pour connaître de cette affaire étant donné que le siège réel du groupe GOOGLE en Europe, soit le lieu de son administration centrale au sens de l’article 56 du RGPD, est situé en Irlande.

39. La formation restreinte retient de nouveau qu’étant donné que les faits en cause relèvent matériellement des dispositions de la directive ePrivacy , et non du RGPD, le mécanisme de guichet unique prévu par ce dernier n’est pas applicable en l’espèce. Elle en déduit qu’il convient de se référer aux dispositions de l’article 3, paragraphe I, de la loi informatique et libertés , déterminant le champ de la compétence territoriale de la CNIL.

40. À cet égard, la formation restreinte souligne que la directive ePrivacy , adoptée en 2002 et modifiée en 2006 puis en 2009, ne fixe pas elle-même explicitement la règle d’application territoriale des différentes lois de transposition adoptées par chaque Etat-membre. Cependant, cette directive indique qu’elle précise et complète la directive 95/46.CE , laquelle prévoyait à l’époque, à son article 4, que Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable . Cette règle de détermination de la loi nationale applicable au sein de l’Union n’a plus lieu d’être pour l’application des règles du RGPD, qui a remplacé la directive 95/46/CE sur la protection des données personnelles et s’applique uniformément sur tout le territoire de l’Union, mais il est logique que le législateur français ait maintenu le critère d’application territoriale pour les règles spécifiques du droit français, notamment celles qui transposent la directive ePrivacy . Dès lors, la jurisprudence de la CJUE sur l’application de l’article 4 de l’ancienne directive 95/46/CE sur la protection des données personnelles demeure pertinente, dans la mesure où le législateur français a utilisé ces mêmes critères pour définir la compétence territoriale de la CNIL.

41. Ainsi, s’agissant, en premier lieu, de l’existence d’un établissement du responsable de traitement sur le territoire français , la CJUE a considéré de façon constante que la notion d’établissement devait être appréciée extensivement et qu’à cette fin, il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un autre État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question (voir, par exemple, CJUE, Weltimmo, 1er oct. 2015, C‑230/14, pts. 30 et 31). La CJUE estime en outre qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).

42. En l’occurrence, la formation restreinte relève, tout d’abord, que la société GOOGLE FRANCE est le siège de la filiale française de la société GOOGLE LLC, qu’elle dispose de locaux situés à Paris, qu’elle emploie environ 1 400 personnes et que, selon ses statuts déposés auprès du greffe du tribunal de commerce de Paris, elle a notamment pour objet la fourniture de services et/ou conseils relatifs aux logiciels, au réseau internet, aux réseaux télématiques ou en ligne, notamment l’intermédiation en matière de vente de publicité en ligne, la promotion sous toutes ses formes de la publicité en ligne, la promotion directe de produits et services et la mise en œuvre de centre de traitement de l’information . La formation restreinte relève, ensuite, qu’il ressort de l’audition du 22 juillet 2020 que la société GOOGLE FRANCE est chargée d’assurer la promotion de la publicité en ligne pour le compte de la société GIL, qui est co-contractante des contrats publicitaires conclus avec les entreprises françaises ou filiales françaises de sociétés étrangères. Elle relève, enfin, que la société GOOGLE FRANCE participe de manière effective à la promotion des produits et services conçus et développés par la société GOOGLE LLC, tels que Google Search, en France, ainsi qu’aux activités publicitaires gérées par la société GIL.

43. S’agissant, en second lieu, de l’existence d’un traitement effectué dans le cadre des activités de cet établissement, la formation restreinte relève que la CJUE a, dans son arrêt Google Spain du 13 mai 2014, considéré que le traitement relatif au moteur de recherche Google Search était effectué dans le cadre des activités de la société GOOGLE SPAIN, établissement de la société GOOGLE INC - devenue depuis GOOGLE LLC -, dans la mesure où la société GOOGLE SPAIN est destinée à assurer en Espagne la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ce moteur de recherche. Si, dans l’arrêt Google Spain l’établissement du responsable du traitement était établi en dehors de l’Union européenne, la Cour a par la suite, dans son arrêt Facebook Ireland Ltd du 5 juin 2018, appliqué la même interprétation extensive des traitements effectués dans le cadre des activités d’un établissement national à une situation où le traitement était en partie sous la responsabilité d’un autre établissement présent au sein de l’Union européenne (CJUE, 5 juin 2018, C-210/16, pts 53 sq). Enfin, il faut relever que l’interprétation de la notion de traitement mis en œuvre dans le cadre des activités d’un établissement national du responsable de traitement est sans incidence sur le fait que le débiteur des obligations demeure le responsable de traitement et, le cas échéant, son sous-traitant.

44. En l’espèce, la formation restreinte relève, tout d’abord, qu’il ressort des communiqués de la société GOOGLE FRANCE mis en ligne sur son site web que cette dernière a notamment pour mission d’accompagner les petites et moyennes entreprises en France à travers le développement d’outils de collaboration, de solutions publicitaires ou pour leur donner les clés de compréhension de leurs marchés et de leurs consommateurs . Elle note, ensuite, que dans son courrier du 30 avril 2020 la société GIL indique que Google France dispose d’une équipe de vente dédiée à la promotion et à la vente des services de GIL à l’égard des annonceurs et des éditeurs basés en France, comme Google Ads . Elle retient, enfin, que le groupe GOOGLE précise sur son site web ads.google.com que Google Ads permet aux entreprises françaises de mettre leurs produits ou services en avant sur le moteur de recherche et sur un large réseau publicitaire .

45. Dès lors, le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs du moteur de recherche Google Search résidant en France, notamment à des fins publicitaires, est effectué dans le cadre des activités de la société GOOGLE FRANCE sur le territoire français, laquelle est en charge de la promotion et de la commercialisation des produits GOOGLE et de leurs solutions publicitaires en France. La formation restreinte relève que les deux critères prévus à l’article 3, paragraphe I, de la loi informatique et libertés sont donc réunis et que le traitement est suffisamment territorialisé en France pour être soumis à la loi française. L’application de la loi française ne concerne que les opérations de lecture et d’écriture qui sont effectuées sur le territoire français (l’article 4 de la directive 95/46/CE sur la protection des données personnelles précisait d’ailleurs que la loi de l’Etat-membre ne s’appliquait qu’aux activités de l’établissement sur le territoire de l’Etat-membre ), ce qui correspond aux données lus sur les terminaux en France ou écriture sur ces terminaux en France. La formation restreinte souligne enfin qu’il s’agit d’une position constante de sa part depuis l’intervention de la jurisprudence Google Spain en 2014 (cf. notamment la décision CNIL, formation restreinte, 27 avril 2017, SAN-2017-006 ; CNIL, formation restreinte, 19 décembre 2018, SAN-2018-011).

46. Il résulte de ce qui précède que la loi française est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction concernant le traitement en cause qui relève du champ d’application de la directive ePrivacy .

B. Sur la détermination du responsable de traitement

47. Aux termes de l’article 4, paragraphe 7, du RGPD, le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement . Aux termes de l’article 26, paragraphe 1, du RGPD, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement .

48. Le rapporteur considère que les sociétés GIL et GOOGLE LLC sont responsables conjoints du traitement en cause en application de ces dispositions dès lors que les sociétés déterminent toutes les deux les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs de Google Search résidant en France.

49. Les sociétés répondent que la société GIL serait seule responsable du traitement en cause. […]la société GIL serait responsable de traitement de la plupart des services et produits Google traitant les données à caractère personnel des utilisateurs résidant dans l’EEE et en Suisse, dont les cookies, tandis que la société GOOGLE LLC ne serait que sous-traitant de la première. Elles mettent également en avant la participation de la société GIL aux différentes étapes et instances du processus décisionnel mis en place par le groupe pour définir les caractéristiques des cookies déposés sur Google Search et soulignent qu’une série de différences concernant spécifiquement les cookies déposés sur les terminaux des utilisateurs européens recourant au moteur de Google Search (durées de conservation différentes, respect des obligations relatives aux mineurs au sens du RGPD, etc.) attesteraient de l’autonomie décisionnelle de la société GIL en la matière.

50. La formation restreinte relève, tout d’abord, que les articles 4, paragraphe 7, et 26, paragraphe 1, du RGPD sont applicables à la présente procédure en raison du recours à la notion de responsable de traitement dans l’article 82 de la loi informatique et libertés , lequel est justifié par le renvoi opéré par l’article 2 de la directive ePrivacy à la directive 95/46/CE sur la protection des données personnelles à laquelle s’est substitué le RGPD.

51. La formation restreinte rappelle, ensuite, que la CJUE s’est prononcée, à plusieurs reprises, sur la notion de responsabilité conjointe du traitement, notamment dans son arrêt Témoins de Jéhovah aux termes duquel elle a considéré que selon les dispositions de l’article 2, sous d), de la directive 95/46 sur la protection des données personnelles, la notion de responsable du traitement vise la personne physique ou morale qui, seule ou conjointement avec d’autres , détermine les finalités et les moyens du traitement de données à caractère personnel. Cette notion ne renvoie, dès lors, pas nécessairement à une personne physique ou morale unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux dispositions applicables en matière de protection des données (…). L’objectif de cette disposition étant d’assurer, par une définition large de la notion de responsable , une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (CJUE, 10 juillet 2018, C‑25/17, pts. 65 et 66).

52. La formation restreinte considère donc que ces développements permettent d’éclairer utilement la notion de responsabilité de traitement conjointe invoquée par le rapporteur à l’égard des sociétés GOOGLE LLC et GIL concernées par le traitement en cause.

1. Sur la responsabilité de la société GIL

53. Les sociétés soutiennent que la société GIL agit en qualité de responsable du traitement en cause, ce que reconnaît également le rapporteur.

54. La formation restreinte partage cette analyse.

55. En premier lieu, elle relève ainsi que, pendant l’audition du 22 juillet 2020, les représentants des sociétés ont déclaré que la société GIL participe au développement et à la supervision des politiques internes qui guident les produits et leur conception, à la mise en place des paramètres, à la détermination des règles de confidentialité et à toutes les vérifications réalisées avant le lancement des produits, en application du principe privacy by design .

56. En second lieu, elle souligne que, s’agissant plus particulièrement des cookies, les représentants ont déclaré lors de l’audition que GIL applique, par exemple, des durées de conservation des cookies plus courtes par rapport à d’autres régions du monde et qu’elle limite l’étendue des traitements liés à la personnalisation de la publicité en Europe par rapport au reste du monde. Par exemple, GIL n’utilise pas certaines catégories de données pour effectuer de la publicité personnalisée telles que les ressources du foyer supposées. La société GIL ne met pas en place de publicité personnalisée pour les enfants dont elle suppose qu’ils sont mineurs au sens du RGPD .

57. Il en ressort que la société GIL est, au moins pour partie, responsable du traitement contrôlé consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search.

2. Sur la responsabilité de la société GOOGLE LLC

58. Les sociétés contestent l’analyse du rapporteur selon laquelle la société GOOGLE LLC partagerait la responsabilité du traitement en cause avec la société GIL.

59. La formation restreinte relève, premièrement, que lors de l’audition du 22 juillet 2020, les sociétés ont affirmé que c’est bien la société GOOGLE LLC qui conçoit et construit la technologie des produits Google et qu’en ce qui concerne les cookies déposés et lus lors de l’utilisation du moteur de recherche Google Search, il n’existe aucune différence de technologies entre les cookies déposés à partir des différentes versions du moteur de recherche.

60. De même, les sociétés, dans l’information qu’elles proposent aux utilisateurs français dans les règles d’utilisation accessibles depuis google.fr , n’opèrent aucune distinction dans leur présentation des cookies utilisés par le groupe GOOGLE dès lors qu’elles indiquent utiliser différents types de cookies pour les produits associés aux annonces et les sites Web de Google .

61. Deuxièmement, la formation restreinte observe que malgré la participation non contestable de la société GIL auxdifférentes étapes et instances liées à la définition des modalités de mise en œuvre des cookies déposés sur Google Search, l’organisation matricielle décrite par les sociétés lors de l’audition du 22 juillet 2020 a mis en évidence que la société GOOGLE LLC est également représentée dans les organes adoptant les décisions relatives au déploiement des produits au sein de l’EEE et en Suisse et aux traitements de données à caractère personnel des utilisateurs y résidant et qu’elle y exerce une influence significative […].

62. De même, la formation restreinte relève que le délégué à la protection des données désigné par la société GIL (ci-après DPO ) ainsi que ses DPO adjoints sont basés en Californie en qualité d’employés de la société GOOGLE LLC. À cet égard, il ressort des propres déclarations des représentants des sociétés faites lors de l’audition du 22 juillet 2020 que le groupe GOOGLE a fait ce choix afin que le DPO de la société GIL soit au plus près des décideurs de l’entreprise .

63. Troisièmement, la formation restreinte considère que les différences que les sociétés mettent en avant entre les cookies déposés sur les terminaux d’utilisateurs européens et ceux destinés à d’autres utilisateurs (durées de conservation différentes, respect des obligations relatives aux mineurs au sens du RGPD, etc.) ne sont que des différences d’exécution qui ne remettent pas en cause la finalité publicitaire globale pour laquelle ils sont exploités, cette finalité étant déterminée notamment par la société GOOGLE LLC. Bien que ces différences aient principalement pour objet d’assurer la conformité au droit européen des cookies déposés sur les terminaux d’utilisateurs européens, elles n’illustrent pas, en tant que telles, une autonomie décisionnelle de la société GIL sur l’ensemble des caractéristiques essentielles des moyens et finalités du traitement en cause.

64. Quatrièmement, la formation restreinte relève que bien qu’en vertu d’une lecture formelle du contrat de sous-traitance du 11 décembre 2018, la société GOOGLE LLC agirait en qualité de sous-traitant de la société GIL dans le traitement des données des utilisateurs européens recueillies via les cookies, l’implication réelle de la société GOOGLE LLC dans le traitement en cause va bien au-delà de celle d’un sous-traitant qui se contenterait de procéder à des opérations de traitement pour le compte de la société GIL et sur ses seules instructions.

65. La formation restreinte considère que ces derniers développements mettent en évidence que, malgré la prise d’effet du contrat de sous-traitance le 22 janvier 2019, la société GOOGLE LLC continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause. Elle détermine également les moyens du traitement étant donné que, comme évoqué ci-avant, c’est elle qui conçoit et construit la technologie des cookies déposés sur les terminaux des utilisateurs européens. Dès lors, la formation restreinte retient qu’il convient de lui attribuer également la qualité de responsable du traitement.

66. Il résulte de l’ensemble de ce qui précède que les sociétés GOOGLE LLC et GIL déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search.

C. Sur le manquement aux obligations en matière de cookies

67. Aux termes de l’article 82 de la loi informatique et libertés (anciennement, article 32, paragraphe II, de cette même loi) tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur .

68. En l’espèce, les membres de la délégation ont constaté dans le cadre du contrôle en ligne du 16 mars 2020 que, lors de l’arrivée sur le site web google.fr , sept cookies ont été déposés sur leur équipement terminal, avant toute action de leur part. Dans son courrier du 30 avril 2020, la société GIL a indiqué que quatre de ces sept cookies poursuivent une finalité publicitaire.

1. Sur le défaut d’information des personnes

69. Le rapporteur soutient que l’information des utilisateurs résidant en France relative aux opérations d’accès ou d’inscription d’informations dans leur terminal lors de l’utilisation du moteur de recherche Google Search était insuffisante et peu claire, en violation des exigences de l’article 82 de la loi informatique et libertés .

70. La société GIL, qui s’estime seule responsable du traitement en cause, répond qu’aucune disposition légale ne prescrit de modalités pratiques spécifiques au responsable de traitement pour informer ses utilisateurs, du moment que ces derniers sont effectivement informés, et soutient avoir opté pour une information par niveaux, comme le recommande le Groupe Article 29 (devenu CEPD depuis l’entrée en application du RGPD) dans ses lignes directrices sur la transparence au sens du Règlement, adoptées dans leur version révisée le 11 avril 2018.

71. Elle fait valoir ainsi que son premier niveau d’information respectait les exigences de transparence et d’accessibilité de l’information dès lors qu’il redirigeait les utilisateurs vers le reste des informations, et notamment celles relatives aux cookies. Elle avance qu’elle fournissait dans le cadre du second niveau des informations spécifiques sur le traitement des cookies, à savoir leurs finalités et les moyens mis à la disposition de l'utilisateur pour s'y opposer.

72. En premier lieu, la formation restreinte rappelle qu’en vertu de l’article 82 de la loi informatique et libertés , les accès ou inscriptions de cookies dans le terminal d’un utilisateur ne peuvent avoir lieu qu’à la condition que ce dernier y ait consenti après avoir reçu [une] informationclaire et complète relative aux finalités des cookies déposés et des moyens dont il dispose pour s’y opposer.

73. La formation restreinte considère qu’aux fins d’interprétation de ces dispositions, il est pertinent de se référer au considérant 25 de la directive ePrivacy , qui dispose que les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles .

74. La formation restreinte souligne, par ailleurs, que la CNIL a adopté plusieurs instruments juridiques de droit souple détaillant les obligations des responsables de traitement en matière de traceurs dont, notamment, une recommandation du 5 décembre 2013 ainsi que des lignes directrices du 4 juillet 2019, en vigueur à la date du contrôle en ligne. Bien que dépourvus de valeur impérative, ces instruments offrent un éclairage utile aux responsables de traitement en les renseignant sur la mise en place de mesures concrètes permettant de garantir le respect des dispositions de la loi informatique et libertés relatives aux traceurs afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

75. A cet égard, à l’article 2 de sa recommandation de 2013 la Commission rappelait notamment que l’information devait être préalable au recueil du consentement mais également visible, mise en évidence et complète . En conséquence, la Commission recommandait aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes :

- première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

- seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des Cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

76. De telles recommandations avaient été reprises dans les lignes directrices du 4 juillet 2019, dans des termes équivalents.

77. En l’espèce, la formation restreinte relève, premièrement, qu’il ressort du contrôle en ligne du 16 mars 2020 que lorsqu’un utilisateur arrivait sur la page google.fr , un bandeau d’information s’affichait en pied de page, contenant notamment la mention suivante Rappel concernant les règles de confidentialité de Google en face de laquelle figuraient deux boutons intitulés Me le rappeler plus tard ou Consulter maintenant .

78. La formation restreinte retient ainsi qu’aucune information relative au dépôt de cookies sur l’équipement terminal n’était fournie à ce stade aux personnes concernées sur ce bandeau alors même que des cookies ayant une finalité publicitaire avaient déjà été déposés sur leur terminal dès leur arrivée sur la page google.fr . Elle ajoute que le simple renvoi aux règles de confidentialité était loin d’être suffisamment explicite à ce stade pour permettre aux personnes lisant ce bandeau de savoir qu’une information relative aux cookies était disponible plus loin dans le parcours de navigation, pour répondre à leurs attentes en la matière et pour satisfaire aux exigences de l’article 82 de la loi informatique et libertés .

79. La formation restreinte souligne, deuxièmement, qu’il ressort des constatations effectuées lors du contrôle en ligne que les règles de confidentialité qui s’ouvraient dans des fenêtres surgissantes lorsque les personnes cliquaient sur le bouton Consulter maintenant ne contenaient toujours aucun développement dédié à l’usage des cookies et autres traceurs, malgré une information générale relative aux données à caractère personnel traitées par les services Google.

80. Par ailleurs, les personnes n’étaient toujours pas informées à ce stade qu’elles pouvaient refuser les cookies sur leur équipement terminal, dès lors qu’elles étaient seulement avisées qu’elles pouvaient gérer les résultats de recherche en fonction de l’activité de recherche dans ce navigateur ou encore gérer les types d’annonces Google qui s’affichent .

81. Enfin, l’information fournie dans le cadre de cette fenêtre surgissante ne comportait, là encore, aucun renvoi explicite aux règles de confidentialité applicables aux cookies. Si les sociétés assurent que ces dernières étaient bien fournies à l’utilisateur, la formation restreinte relève que l’architecture informationnelle mise en place par les sociétés était telle que pour y parvenir l’utilisateur devait comprendre par lui-même qu’il lui fallait faire défiler le contenu de toute la fenêtre surgissante, sans cliquer sur l’un des cinq liens hypertextes figurant dans ce contenu ( notre règlement , En savoir plus , Modifier les paramètres de recherche , Modifier les paramètres des annonces , Modifier les paramètres Youtube ), pour finalement cliquer sur le bouton Autres options figurant tout en bas de la fenêtre.

82. Dès lors, la formation restreinte relève que l’information fournie par les sociétés, tant dans le cadre du bandeau que dans celui de la fenêtre surgissante, ne permettait pas aux utilisateurs résidant en France, lors de leur arrivée sur le moteur de recherche Google Search, d’être préalablement et clairement renseignés sur l’existence d’opérations permettant l’accès et l’inscription d’informations contenues dans leur terminal ni, par conséquent, de la finalité de celles-ci et des moyens mis à leur disposition quant à la possibilité de les refuser.

83. En second lieu, la formation restreinte relève que depuis l’engagement de la procédure de sanction, les sociétés ont entrepris une série de modifications sur la manière dont elles utilisent les cookies.

84. La première mise à jour a d’abord été rendue disponible auprès des utilisateurs du moteur de recherche non connectés à un compte Google à compter du 17 août 2020 et entièrement déployée pour tous les utilisateurs le 10 septembre 2020 […]

85. La société GIL met en avant que […], la nouvelle information fournie aux utilisateurs satisfait les exigences de l’article 82 de la loi informatique et libertés .

86. La formation restreinte relève que les personnes qui se rendent sur le site google.fr voient désormais s’afficher, au milieu de leur écran, avant de pouvoir accéder au moteur de recherche, une fenêtre surgissante intitulée Avant de continuer qui contient le développement suivant : Google utilise des cookies et d'autres données pour fournir, gérer et améliorer ses services et annonces. Si vous acceptez, nous personnaliserons le contenu et les annonces que vous voyez en fonction de votre activité sur les services Google comme la recherche, Maps et YouTube. Certains de nos partenaires évaluent également la façon dont nos services sont utilisés. Cliquez sur "Plus d'informations" pour découvrir les options qui s'offrent à vous ou consultez la page g.co/privacytools à tout moment , les termes cookies , partenaires et g.co/privacytools étant des liens cliquables. En bas de cette fenêtre surgissante, figurent deux boutons intitulés Plus d’informations et J’accepte .

87. La formation restreinte constate que les sociétés fournissent désormais une information préalable relative aux cookies dès lors que les utilisateurs se rendant sur la page google.fr sont désormais ouvertement et directement informés du fait que les sociétés recourent à des cookies, ce qui constitue une avancée indéniable par rapport aux précédents bandeaux d’information.

88. Pour autant, la formation restreinte considère que l’information délivrée n’est toujours pas claire et complète au sens de l’article 82 de la loi informatique et libertés , dans la mesure où cette information ne renseigne pas l’utilisateur sur l’ensemble des finalités des cookies déposés et des moyens dont il dispose pour s’y opposer.

89. Ainsi, l’exposé des différentes finalités mentionnées dans ce bandeau demeure trop général pour que les utilisateurs puissent comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés sur leur terminal.

90. L’utilisateur n’est notamment pas en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement - par exemple, s’il s’agit de publicité géolocalisée -, la nature exacte des services Google qui recourent à la personnalisation ni le fait que cette personnalisation opère entre ces différents services.

91. La formation restreinte considère, par ailleurs, que l’information fournie est incomplète dès lors que les utilisateurs ne sont toujours pas renseignés sur leur possibilité de refuser ces cookies, ni sur les moyens mis à leur disposition pour cela. En effet, les termes options ou Plus d’informations ne sont pas assez explicites pour permettre aux utilisateurs de comprendre directement l’étendue de leurs droits à l’égard des cookies déposés sur leur terminal.

92. […]

93. Au regard de l’ensemble de ce qui précède, la formation restreinte considère qu’un manquement aux dispositions relatives à l’information des personnes de l’article 82 de la loi informatique et libertés est constitué.

94. La formation restreinte relève que ce manquement persiste à la date de la clôture de l’instruction, les modifications apportées par les sociétés depuis l’engagement de la procédure de sanction n’ayant pas permis de mettre cette information en conformité avec les exigences de l’article 82 informatique et libertés .

2. Sur le défaut de recueil du consentement des personnes avant le dépôt de cookies sur leur terminal et l’impossibilité pour les personnes de refuser le dépôt de tous les cookies

a. Sur le défaut de recueil du consentement des personnes avant le dépôt de cookies sur leur terminal

95. Le rapporteur soutient que les sociétés ont violé les dispositions de l’article 82 de loi informatique et libertés relatives au consentement des personnes dans la mesure où, lors du contrôle en ligne du 16 mars 2020, il a été constaté que dès l’arrivée de l’utilisateur sur la page google.fr , plusieurs cookies poursuivant une finalité publicitaire étaient déposés sur son terminal avant toute action de sa part.

96. La société GIL ne conteste pas cette branche du manquement.

97. La formation restreinte relève qu’aux termes de l’article 82 de la loi informatique et libertés , les accès ou inscriptions [de cookies] ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle . Seuls les cookies ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou ceux strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, sont exonérés de cette obligation.

98. En l’espèce, la formation restreinte souligne que le contrôle en ligne du 16 mars 2020 a permis de constater que lors de l’arrivée sur la page google.fr sept cookies étaient automatiquement déposés sur le terminal de la délégation, avant toute action de sa part.

99. La formation restreinte relève que la société GIL a indiqué dans son courrier du 30 avril 2020 que quatre des sept cookies déposés, soit les cookies NID , IDE , ANID et 1P_JAR , poursuivent une finalité publicitaire.

100. Dès lors que ces quatre cookies n’ont pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique ni ne sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, la formation restreinte considère que les sociétés auraient dû recueillir préalablement le consentement des utilisateurs, avant de procéder à leur dépôt sur le terminal de ces derniers.

101. Au regard de ce qui précède, la formation restreinte considère qu’un manquement à l’obligation prévue par l’article 82 de la loi informatique et libertés de recueillir préalablement le consentement des personnes avant de déposer des cookies sur leur terminal est constitué.

102. Elle souligne néanmoins que durant la procédure de sanction les sociétés ont apporté des modifications à la page google.fr , qui ont notamment amené, depuis le 10 septembre 2020, à l’arrêt du dépôt automatique de ces quatre cookies dès l’arrivée de l’utilisateur sur la page.

b. Sur le caractère partiellement défaillant du mécanisme d’opposition mis en place par Google.

103. Le rapporteur soutient qu’outre le fait que le consentement, lorsqu’il était nécessaire, n’était pas recueilli, le dispositif mis en place par les sociétés pour s’opposer aux cookies à finalité publicitaire déposés sur le terminal de l’utilisateur s’avérait également partiellement défaillant, en violation des exigences de l’article 82 de loi informatique et libertés .

104. La société GIL conteste cette appréciation et répond qu’elle tenait, et continue à tenir compte du choix de l'utilisateur de retirer son consentement à travers un mécanisme permettant aux utilisateurs de personnaliser les annonces sur la recherche Google ainsi que sur le web.

105. En l’espèce, la formation restreinte souligne tout d’abord que les sociétés déposant ces cookies à finalité publicitaire avant même d’avoir recueilli le consentement des utilisateurs (absence d’ opt-in ), l’emploi de l’expression retirer son consentement par la société GIL est particulièrement abusif. Dès lors, les sociétés pouvaient-elles tout au plus mettre en avant le fait d’avoir mis en place un mécanisme d’opposition à ces cookies ( opt-out ).

106. Par ailleurs, la formation restreinte relève qu’il ressort du contrôle en ligne du 16 mars 2020 que lorsque les personnes cliquaient sur le bouton Consulter maintenant présent sur le bandeau d’information en pied de la page google.fr , une fenêtre apparaissait au sein de laquelle elles pouvaient cliquer sur le bouton Modifier les paramètres des annonces , puis désactiver la Personnalisation des annonces sur la recherche Google et la Personnalisation des annonces sur le web grâce à des boutons glissants. Lorsque les personnes désactivaient la personnalisation des annonces par le biais de ce bouton glissant, une nouvelle fenêtre s’affichait leur demandant de confirmer leur choix et leur précisant que des annonces continueront de s’afficher mais qu’elles ne seront plus personnalisées.

107. La formation restreinte relève qu’après avoir pourtant désactivé la personnalisation des annonces sur la recherche Google, la délégation a constaté, en poursuivant sa navigation sur le site, que plusieurs de ces cookies à finalités publicitaires demeuraient stockés sur son équipement terminal. Elle souligne, à cet égard, qu’au moins un de ces cookies n’appartenait pas à la catégorie des cookies dits d’opposition, lesquels demeurent stockés sur le terminal de l’utilisateur avec la valeur opt-out pour indiquer au serveur du domaine auquel ils sont liés que l’utilisateur a exprimé son refus à des dépôts futurs de cookies identiques à partir de ce même domaine.

108. La société GIL ayant elle-même reconnu, dans son courrier du 30 avril 2020, que le cookie en cause poursuit une finalité exclusivement publicitaire, la formation restreinte en conclut que le mécanisme d’opposition mis en place par les sociétés était partiellement défaillant. En effet, ce cookie demeurant déposé sur le terminal de l’utilisateur sans se voir attribuer la valeur opt-out , les informations qu’il contenait continuaient d’être systématiquement lues par le serveur du domaine auquel est lié le cookie (par exemple google.com ou google.fr ) lors de chaque nouvelle interaction avec le domaine concerné.

109. Au regard de ce qui précède, la formation restreinte considère que les sociétés ont méconnu l’obligation prévue par l’article 82 de la loi informatique et libertés de mettre en place un mécanisme effectif permettant aux utilisateurs de refuser ou de ne plus lire les cookies nécessitant leur consentement.

III. Sur les mesures correctrices et la publicité

110. Aux termes de l’article 20, paragraphe III, de la loi informatique et libertés :

Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant (…) de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […] 2° Une injonction de mettre en conformité le traitement avec les obligations résultant (…) de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […] 7° À l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 .

111. L’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi informatique et libertés , prévoit :

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

A. Sur la légalité de la présente procédure de sanction

112. Les sociétés soutiennent, tout d’abord, que rien ne permet de justifier que la CNIL ait directement engagé une procédure de sanction à leur encontre sans qu’une mise en demeure leur ait été préalablement adressée.

113. Elles avancent, ensuite, qu’au regard de l’instabilité du cadre juridique relatif aux cookies, le prononcé d’une sanction financière pour les faits en cause violerait le principe de légalité des délits et des peines, garanti à l’article 8 de la Déclaration des droits de l'homme et du citoyen. Elles font notamment valoir que la caractérisation des manquements repose sur l’application de lignes directrices dont le sens n’avait pas valeur impérative au moment du contrôle en ligne du 16 mars 2020, la CNIL ayant accordé, en juillet 2019, un délai d'adaptation de douze mois à compter de la publication des lignes directrices du 4 juillet 2019 afin que les responsables de traitement puissent s'y conformer.

114. En premier lieu, la formation restreinte rappelle que, conformément à l’article 20 de la loi informatique et libertés , la présidente de la CNIL n’est pas tenue d’adresser une mise en demeure à un responsable de traitement avant d’engager une procédure de sanction à son encontre. Elle ajoute que la possibilité d’engager directement une procédure de sanction a été confirmée par le Conseil d’Etat (voir, notamment, CE, 4 nov. 2020, req. n° 433311, pt. 3).

115. En second lieu, la formation restreinte rappelle, tout d’abord, que les différentes branches du manquement reproché aux sociétés ont pour seul fondement juridique les dispositions de l’article 82 de la loi informatique et libertés qui ont transposé les dispositions relatives aux cookies et traceurs de la directive ePrivacy . Elle signale que si ces prescriptions étaient autrefois prévues à l’article 32, paragraphe II, de cette même loi, avant que le texte ne soit refondu dans son ensemble par l’ordonnance n°2018-1125 du 12 décembre 2018, leur contenu est demeuré inchangé depuis 2011.

116. La formation restreinte, relève, ensuite, que sur la base de ces dispositions, elle a déjà adopté plusieurs décisions de sanction, concernant parfois des pratiques identiques, dont certaines ont d’ailleurs été rendues publiques (voir, en ce sens, délibération n°SAN-2016-204 du 7 juillet 2016 et délibération n°SAN-2017-006 du 27 avril 2017).

117. La formation restreinte souligne, enfin, que bien que les communications de la CNIL relatives aux cookies et traceurs aient connu dernièrement certaines évolutions, les pratiques à l’origine des différentes branches du manquement reproché en l’espèce aux deux sociétés ont été continuellement considérées comme non conformes par la CNIL, que cela soit par la première recommandation du 5 décembre 2013 ou par les lignes directrices du 4 juillet 2019, en vigueur à la date des constatations faites par la délégation de la CNIL. Elle relève, à titre d’information, que la deuxième recommandation et la dernière version des lignes directrices, qui datent du 17 septembre 2020 et qui ont été publiées le 1er octobre 2020, s’inscrivent également dans cette continuité. En tout état de cause, comme rappelé ci-avant, les pratiques non conformes relevées dans le cadre de cette procédure sont appréciées au regard de la loi informatique et libertés et non des lignes directrices ou des recommandations de la CNIL.

118. S’agissant plus particulièrement du délai d'adaptation à compter de la publication des lignes directrices du 4 juillet 2019 invoqué par les sociétés, la formation restreinte relève qu’il est, en l’espèce, inopérant, dès lors que les pratiques en cause portent précisément sur les obligations dont la CNIL avait pris soin, dans son communiqué publié sur son site web le 18 juillet 2019, de préciser qu’elles demeuraient opposables aux responsables de traitement, en les avertissant que cette période d’adaptation [ne l’empêchera pas] de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes. En particulier, les opérateurs doivent respecter le caractère préalable du consentement au dépôt de traceurs […] et doivent fournir un dispositif de retrait du consentement facile d’accès et d’usage .

119. En raison de la permanence du fondement juridique et des dispositions au regard desquels le manquement est constitué et de la constance de la position de la CNIL vis-à-vis des pratiques qui font l’objet de la présente procédure, la formation restreinte considère que le prononcé d’une amende administrative à l’encontre de chacune des sociétés sans mise en demeure préalable ne contreviendrait pas au principe de légalité des délits et des peines.

B. Sur le prononcé d’amendes administratives et leur montant

120. Les sociétés font valoir que le montant de l’amende proposée par le rapporteur est disproportionné et estimé de manière discrétionnaire dès lors que, contrairement à d’autres autorités administratives françaises ou européennes disposant d’un pouvoir de sanction, la CNIL n’a pas fourni de lignes directrices pour le calcul de ses amendes.

121. Elles ajoutent que ce montant devrait être significativement réduit notamment en application de l’alinéa f) de l’article 83, paragraphe 2 du Règlement afin de prendre en compte leur forte coopération avec la CNIL depuis le début de la procédure en vue de mettre fin au manquement et d'en atténuer les éventuels effets négatifs.

122. La formation restreinte rappelle, à titre général, que l’article 20, paragraphe III, de la loi informatique et libertés lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d'affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement. Elle ajoute que la détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD.

123. En premier lieu, la formation restreinte souligne qu’il convient, en l’espèce, de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2 du Règlement relatif à la gravité du manquement compte tenu de la nature et de la portée du traitement.

124. Ainsi, la formation restreinte relève que le moteur de recherche Google Search, à partir duquel sont déposés les cookies en cause, a une portée considérable en France, l’Autorité de la concurrence ayant relevé qu’il dominait le marché de la recherche en ligne avec une part de marché supérieure à 90% (ADLC, 19 déc. 2019, déc. n° 19-D-26, pt. 313).

125. Elle souligne que le moteur de recherche Google Search comptabilisant au moins 47 millions d’utilisateurs en France, ce qui correspond à 70% de la population française, le nombre de personnes concernées par le traitement est extrêmement important.

126. Au regard de la structuration de ce marché, la formation restreinte considère que la gravité du manquement est caractérisée par le fait qu’en ne respectant pas plusieurs des exigences de l’article 82 de la loi informatique et libertés , les sociétés privent les utilisateurs de Google Search résidant en France de la possibilité de choisir entre des modalités de recherche préservant davantage la confidentialité de leurs données et des modalités permettant une meilleure personnalisation du service, réduisant ainsi l’autonomie informationnelle et le choix des personnes.

127. Enfin, la formation restreinte relève que le manquement est d’autant plus grave au regard du rôle joué par les moteurs de recherche dans l’accès à l’information, a fortiori par celui développé par les sociétés. À cet égard, la puissance de cette position dominante donne une valeur sans égale aux cookies déposés par les sociétés à partir de leur moteur de recherche car ils assurent les sites tiers de toucher le maximum d’utilisateurs et, s’agissant de cookies traceurs, de pouvoir les suivre avec la plus grande efficacité.

128. En deuxième lieu, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2, du Règlement relatif aux avantages financiers obtenus du fait du manquement.

129. Ainsi, elle souligne que le groupe GOOGLE réalise l’essentiel de ses bénéfices dans les deux principaux segments du marché de la publicité en ligne que constituent la publicité par affichage (Display Advertising) et la publicité contextuelle (Search Advertising), dans lesquels les cookies jouent un rôle indéniable, quoique différent.

130. Tout d’abord, dans le segment de la publicité par affichage, dont l’objet est d’afficher un contenu dans une zone spécifique d’un site web et dans lequel les cookies et traceurs sont utilisés pour identifier les utilisateurs au cours de leur navigation aux fins de leur proposer les contenus les plus personnalisés, il est établi que le groupe GOOGLE propose des produits à tous les échelons de la chaîne de valeur de ce segment et que ses produits sont systématiquement dominants sur ces différents échelons. À cet égard, le groupe GOOGLE indique, sur un de ses sites web, qu’il propose pour la publicité un écosystème accessible depuis ses outils et services capable de toucher plus de 2 millions de sites, vidéos et applications et plus de 90% des utilisateurs de l’Internet dans le monde.

131. Ensuite, le segment de la publicité contextuelle, dont l’objet est d’afficher des résultats sponsorisés en fonction des mots clef tapés par les utilisateurs dans un moteur de recherche, nécessite également l’usage de cookies dans sa mise en œuvre pratique, par exemple pour pouvoir déterminer la localisation géographique des utilisateurs et, par-là, adapter les annonces proposées en fonction de cette localisation. À cet égard, il ressort du rapport annuel de la société ALPHABET pour l’année 2019 que ce segment constitue à lui seul, à travers notamment le service Google Ads - anciennement AdWords -, 61% du chiffre d’affaires du groupe GOOGLE.

132. La formation restreinte n’a pas connaissance du montant du bénéfice tiré par le groupe GOOGLE de la collecte et de l’exploitation de cookies sur le marché français via le revenu généré par la publicité ciblée sur des internautes français, les sociétés mises en cause n’ayant pas fourni cette information alors qu’elles y étaient invitées dans le cadre de l’instruction du dossier. À titre d’ordre de grandeur, et afin d’apprécier la proportionnalité du montant de sanction proposé par le rapporteur, elle relève qu’une approximation proportionnelle à partir des données chiffrées accessibles publiquement conduirait à estimer que la France contribuerait pour entre 680 et 755 millions de dollars au résultat net annuel d’ALPHABET, la société-mère du groupe GOOGLE, soit, au taux de change actuel, entre 580 et 640 millions d’euros.

133. En troisième lieu, en ce qui concerne le critère prévu à l’alinéa f) de l’article 83, paragraphe 2 du Règlement invoqué par les sociétés au soutien d’une diminution de l’amende proposée à leur encontre par le rapporteur, la formation restreinte relève qu’il ressort de l’article 18 de la loi informatique et libertés que les responsables de traitement ne peuvent s'opposer à l'action de la Commission etqu’ils doivent prendre toutes mesures utiles afin de faciliter sa tâche . La coopération avec l’autorité de contrôle constitue ainsi d’abord une obligation prévue par la loi.

134. Pour que cette coopération puisse devenir éventuellement une circonstance atténuante à la caractérisation du manquement et, par-là, contribuer à la diminution de l’amende initialement envisagée, la formation restreinte souligne que le responsable de traitement doit non seulement s’être préalablement acquitté de son obligation au titre de l’article 18 précité mais également avoir satisfait de manière particulièrement diligente aux demandes de l’autorité de contrôle pendant la phase d’enquête et mis en œuvre toute mesure en son pouvoir permettant de réduire aux maximum l’incidence du manquement sur les personnes concernées.

135. En l’espèce, la formation restreinte relève que les sociétés n’ont notamment jamais communiqué aux services de la Commission les revenus publicitaires des sociétés GOOGLE LLC et GIL réalisés en France, éléments financiers pourtant demandés à plusieurs reprises par le rapporteur, en amont et à la suite de l’audition du 22 juillet 2020. En conséquence, la coopération dont elles ont fait preuve ne devrait avoir aucune incidence sur le montant de leur amende dès lors qu’elle est à peine conforme à ce que la CNIL est en droit d’attendre d’un responsable de traitement.

136. En conclusion, la formation restreinte rappelle que le manquement à l’article 82 informatique et libertés est en l’espèce triplement caractérisé, dès lors qu’en déposant automatiquement les cookies en cause sur les terminaux des utilisateurs résidant en France lors de leur arrivée sur la page google.fr les sociétés ne satisfaisaient ni à l’exigence d’une information préalable, claire et complète des utilisateurs, ni à celle du recueil obligatoire de leur consentement et que, en outre, le mécanisme d’opposition à ces cookies s’avérait partiellement défaillant.

137. Elle souligne qu’en raison de la portée du moteur de recherche Google Search en France ces pratiques ont affecté près de cinquante millions d’utilisateurs résidant en France et que les sociétés en ont tiré des bénéfices considérables à travers les revenus publicitaires indirectement générés par les données collectées par ces cookies.

138. En application des dispositions de l’article 20, paragraphe III, de la loi informatique et libertés , les sociétés encourent une sanction financière d’un montant maximum de 2% de leur chiffre d’affaires, lequel était de 38 milliards d’euros en 2018 pour la société GIL et de 160 milliards de dollars en 2019 pour la société GOOGLE LLC.

139. Dès lors, au regard des responsabilités respectives des sociétés, de leurs capacités financières et des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de 60 000 000 euros à l’encontre de la société GOOGLE LLC et une amende de 40 000 000 euros à l’encontre de la société GIL apparaissent effectives, proportionnées et dissuasives, conformément aux exigences de l’article 83, paragraphe 1, de ce Règlement.

C. Sur le prononcé d’une injonction

140. Les sociétés soutiennent que les demandes formulées au titre de l’injonction proposée par le rapporteur et relatives notamment à l’information des personnes et au dépôt préalable de cookies soumis à consentement sont devenues sans objet […].

141. Elles contestent par ailleurs le montant de l’astreinte journalière proposée en complément des injonctions dès lors que le rapporteur n’apporte pas la démonstration de la nécessité de cette astreinte ni de la proportionnalité de son montant, qui est le montant maximal prévu par la loi informatique et libertés .

142. En premier lieu, la formation restreinte relève qu’en l’état actuel de l’information fournie aux utilisateurs, les sociétés n’informent toujours pas les utilisateurs résidant en France, de manière claire et complète, des finalités de tous les cookies soumis au consentement et des moyens dont ils disposent pour les refuser, […] Elle estime dès lors nécessaire le prononcé d’une injonction afin que les sociétés se mettent en conformité avec les obligations applicables en la matière.

143. En second lieu, la formation restreinte souligne qu’une astreinte journalière est une pénalité financière par jour de retard que devra payer le responsable de traitement en cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu. Son prononcé peut donc parfois s’avérer nécessaire pour s’assurer de la mise en conformité du responsable de traitement sous un certain délai.

144. La formation restreinte ajoute qu’aux fins de conserver à l’astreinte sa fonction comminatoire, son montant se doit d’être à la fois proportionné à la gravité des manquements reprochés mais également adapté aux capacités financières du responsable de traitement. Elle relève, par ailleurs, que dans certaines hypothèses, comme en l’espèce, ce montant se doit d’être d’autant plus élevé que le manquement concerné par l’injonction participe indirectement aux bénéfices générés par le responsable de traitement.

145. Au regard de ces deux éléments, la formation restreinte considère proportionné le prononcé d’une astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de trois mois. Le délai d’exécution laissé est également raisonnable compte tenu des moyens techniques dont disposent les sociétés et de la capacité d’adaptation dont elles se prévalent.

D. Sur la publicité

146. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées.

147. La formation restreinte estime que cette mesure permettra d’alerter les utilisateurs français du moteur de recherche Google Search de la caractérisation du manquement à l’article 82 de la loi informatique et libertés dans ses différentes branches et de les informer de la persistance du manquement au jour de la présente délibération et de l’injonction prononcée à l’encontre des sociétés pour y remédier. Elle ajoute que cette mesure est rendue d’autant plus nécessaire que les cookies litigieux étaient déposés à l’insu des utilisateurs, de sorte que seule la publicité de la présente décision leur permettra de prendre connaissance des pratiques en cause.

148. Enfin, la mesure n’est pas disproportionnée dès lors que la décision n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

· prononcer à l’encontre de la société GOOGLE LLC une amende administrative d’un montant de 60 000 000 euros (soixante millions d’euros) pour manquement à l’article 82 de la loi informatique et libertés ;

· prononcer à l’encontre de la société GOOGLE IRELAND LIMITED une amende administrative d’un montant de 40 000 000 euros (quarante millions d’euros) pour manquement à l’article 82 de la loi informatique et libertés ;

· prononcer à l’encontre des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITEDune injonction de mettre en conformité le traitement avec les obligations résultant de l’article 82 de la loi informatique et libertés , en particulier :

o Informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site google.fr :

- des finalités de tous les cookies soumis au consentement,

- des moyens dont elles disposent pour les refuser ;

· assortir l’injonction d’une astreinte de 100 000 € (cent mille euros) par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;

· adresser cette décision à la société GOOGLE FRANCE SARL en vue de l’exécution de cette décision ;

· rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.

Retourner en haut de la page