Délibération SAN-2021-023 du 31 décembre 2021

Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés X et Y

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Anne DEBET et Monsieur Alain DRU, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision no 2021-108C du 20 mai 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements accessibles depuis les domaines [V].fr et [W].com ou portant sur des données à caractère personnel collectées à partir de ces derniers ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 28 juillet 2021 ;

Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié aux sociétés [X] et [Y] le 2 septembre 2021 ;

Vu les observations écrites versées par les conseils des sociétés [X] et [Y] le 8 octobre 2021 ;

Vu la réponse de la rapporteure à ces observations notifiées le 22 octobre 2021 aux conseils des sociétés ;

Vu les observations écrites versées par les conseils des sociétés [X] et [Y] reçues le 12 novembre 2021 ;

Vu les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 25 novembre 2021 :
- Madame Valérie PEUGEOT, commissaire, entendue en son rapport ;

En qualité de représentants des sociétés [X] et [Y] :
- […] ;

En qualité d’interprètes des sociétés [X] et [Y] :
- […] ;

Les sociétés [X] et [Y] ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. La société [X] est une société à responsabilité limitée ayant son siège social aux États-Unis. Depuis sa création en […], elle a développé de nombreux services à destination des particuliers et des entreprises, tels que […]. Elle possède plus de 70 bureaux implantés dans une cinquantaine de pays et emploie plus de 135 000 personnes à travers le monde. Depuis août 2015, la société [X] est une filiale détenue à 100% par la société [X’]., maison-mère du groupe [V].

2. En 2020, la société [X’]. a réalisé un chiffre d’affaires de plus de 182 milliards de dollars, tandis que la société [X] a réalisé un chiffre d’affaires de plus de […] de dollars. Le moteur de recherche [V] a généré plus de 104 milliards de dollars de revenus, tandis que la publicité via les services du groupe [V] a généré des revenus de près de 147 milliards de dollars et, via les services de [W], de près de 20 milliards.

3. La société [Y] (ci-après la société [Y] ) se présente comme étant le siège du groupe [V] pour ses activités dans l’espace économique européen et en Suisse. Établie à Dublin (Irlande), elle emploie environ […] personnes. Elle a réalisé un chiffre d’affaires de […] d’euros en 2019.

4. La société [Z] SARL est l’établissement français du groupe [V]. Filiale détenue à 100 % par la société [X], son siège social est situé à Paris. Elle emploie environ […] salariés et a réalisé un chiffre d’affaires de […] d’euros en 2019.

5. Le 16 mars 2020, dans le cadre d’une précédente procédure diligentée à l’encontre des sociétés [X] et [Y], une délégation de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ) a effectué un contrôle en ligne sur le site web [V].fr . Cette mission avait notamment pour objet de vérifier le respect, par les sociétés [X] et [Y], des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi Informatique et Libertés ) et notamment de son article 82.

6. En application de l’article 22 de la loi Informatique et Libertés , la présidente de la CNIL a désigné un rapporteur le 8 juin 2020.

7. Par délibération n° SAN-2020-012 du 7 décembre 2020, la formation restreinte a :
- prononcé à l’encontre de la société [X] et de [Y] des amendes administratives d’un montant respectif de 60 millions et 40 millions d’euros pour manquement à l’article 82 de la loi Informatique et Libertés ;
- prononcé à l’encontre des sociétés [X] et [Y] une injonction de mettre en conformité le traitement avec les obligations résultant de l’article 82 de la loi informatique et libertés , en particulier :
o informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site [V].fr :
- des finalités de tous les cookies soumis au consentement,
- des moyens dont elles disposent pour les refuser ;
- assorti l’injonction d’une astreinte de 100 000 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération ;
- rendu publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

8. Le 29 janvier 2021, les sociétés ont formé un recours en référé devant le Conseil d’État, sollicitant la suspension de l’injonction. Cette demande a été rejetée par une décision du 4 mars 2021 (CE, juge des référés, 4 mars 2021, N° 449212).

9. Parallèlement, les sociétés ont formé un recours de plein contentieux à l’encontre de la délibération du 7 décembre 2020. La procédure est toujours pendante devant le Conseil d’État.

10. Par délibération n° SAN-2021-004 du 30 avril 2021, la formation restreinte a considéré que les sociétés avaient satisfait à l’injonction dans le délai imparti, dans la mesure où les personnes se rendant sur le site [V].fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site .

11. Les 18 mars, 31 mars, 2 avril et 28 avril 2021, la CNIL a été saisie de plusieurs plaintes dénonçant les modalités de refus des cookies des sites internet [V].fr et [W].com mis à la disposition des utilisateurs situés en France.

12. En application de la décision n° 2021-108C du 20 mai 2021 de la présidente de la Commission, les services de la CNIL ont procédé à un contrôle en ligne, le 1er juin 2021, sur les sites web [V].fr et [W].com .

13. Cette mission avait notamment pour objet de vérifier le respect, par les sociétés [X] et [Y] (ci-après les sociétés ), des dispositions de la loi Informatique et Libertés .

14. Dans le cadre du contrôle en ligne, la délégation a effectué des constatations lorsque l’utilisateur se rend sur les sites [V].fr et [W].com ; lorsqu’il clique sur le bouton Personnaliser ; lorsqu’il clique sur le lien Règles de confidentialité et lorsqu’il clique sur Conditions d’utilisation .

15. Le 3 juin 2021, la délégation a notifié aux sociétés le procès-verbal dressé dans le cadre du contrôle en ligne, en leur demandant d’indiquer, pour chacun des cookies mentionnés dans ledit procès-verbal, sa finalité et de fournir une volumétrie du nombre de visiteurs uniques quotidiens pour les sites [V].fr et [W].com au cours des douze derniers mois depuis la France.

16. Les 21 juin et 9 juillet 2021, la CNIL a été saisie de deux nouvelles plaintes dénonçant les modalités de refus des cookies du site web [V].fr .

17. Par courrier du 9 juillet 2021, la société [Y] a répondu à la demande de la délégation, indiquant apporter une réponse sans préjudice de [ses] droits au titre du RGPD, en particulier du mécanisme de guichet unique et du rôle d’autorité chef de file de la Data Protection Commission irlandaise (“DPC“) dans le cadre d’enquêtes . Elle a précisé agir en qualité de responsable du traitement des données à caractère personnel s’agissant des cookies déployés sur les domaines [V].fr et [W].com pour les utilisateurs situés au sein de l’espace économique européen et en Suisse. Elle a transmis en outre la finalité de chacun des cookies déposés sur le terminal des utilisateurs et identifiés dans le procès-verbal de constatations. Elle a en revanche refusé de fournir la volumétrie du nombre de visiteurs uniques de ces deux sites web au cours des douze derniers mois depuis la France, considérant qu’il n’était pas nécessaire de fournir ces informations à ce stade.

18. Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné Madame Valérie PEUGEOT en qualité de rapporteure, le 28 juillet 2021, sur le fondement de l’article 22 de la loi Informatique et Libertés .

19. À l’issue de son instruction, la rapporteure a fait signifier en main propre, le 2 septembre 2021, aux conseils des sociétés et par courrier électronique à leurs représentants, un rapport détaillant le manquement à l’article 82 de la loi Informatique et Libertés qu’elle estimait constitué en l’espèce.

20. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre des deux sociétés, ainsi qu’une injonction de mettre en conformité le traitement consistant en des opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs situés en France, sur les sites internet [V].fr et [W].com , avec les dispositions de l’article 82 de la loi Informatique et Libertés , assortie d’une astreinte. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

21. Par courrier du 9 septembre 2021, les sociétés, par l’intermédiaire de leurs conseils, ont sollicité un délai supplémentaire pour fournir leurs observations en réponse. Par courrier du 15 septembre 2021, le président de la formation restreinte leur a accordé un délai supplémentaire jusqu’au 8 octobre 2021.

22. Par courrier du 27 septembre 2021 adressé au président de la formation restreinte, les sociétés, par l’intermédiaire de leurs conseils, ont sollicité la suspension de la procédure dans l’attente de la décision du Conseil d’État dans le cadre du recours diligenté contre la délibération n° SAN-2020-012 du 7 décembre 2020. Le 30 septembre 2021, les conseils des sociétés ont informé le président de la formation restreinte de la création d’un groupe de travail par le Comité européen à la protection des données (ci-après le CEPD ), destiné à coordonner la réponse aux plaintes relatives aux bannières cookies, déposées par l’association None of Your Business (ci-après l’association NOYB ) auprès de différentes autorités de protection des données européennes.

23. Par courrier du 4 octobre 2021, la président de la formation restreinte a rejeté la demande de suspension de la procédure formulée par les sociétés.

24. Le 8 octobre 2021, les sociétés ont produit des observations en réponse au rapport de sanction.

25. La rapporteure a répondu aux observations des sociétés le 22 octobre 2021.

26. Le 27 octobre 2021, par l’intermédiaire de leurs conseils, les sociétés ont formulé une demande d’extension du délai de quinze jours prévu par l’article 40 du décret n° 2019-536 du 29 mai 2019 pour produire leurs observations en réponse, une demande de report de la séance de la formation restreinte fixée au 25 novembre 2021 et une demande pour que la séance se tienne à huis clos.

27. Le 29 octobre 2021, le président de la formation restreinte a accordé un délai supplémentaire de huit jours aux sociétés pour produire leurs secondes observations et a refusé de reporter la date de la séance de la formation restreinte et de tenir ladite séance à huis clos.

28. Le 12 novembre 2021, les sociétés ont produit de nouvelles observations en réponse à celles de la rapporteure.

29. Les sociétés et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte.

II. Motifs de la décision

A. Sur la demande de suspension de la procédure

30. Les sociétés sollicitent que la formation restreinte sursoie à statuer dans l’attente de la décision qui sera rendue par le Conseil d’État dans le cadre du recours formé à l’encontre de la délibération n° SAN-2020-012 du 7 décembre 2020 et dans l’attente des conclusions du nouveau groupe de travail du CEPD mentionné ci-avant. Elles fondent leur demande sur l’article 66 du règlement intérieur de la CNIL et sur le principe de bonne administration de la justice. Les sociétés font notamment valoir qu’elles demandent au Conseil d’État de se prononcer sur plusieurs moyens qui auront des conséquences directes et décisives sur la présente procédure de sanction. Elles soutiennent en particulier devant le Conseil d’État que la CNIL n’était pas compétente pour prononcer des sanctions administratives à leur encontre, alors au surplus que le cadre juridique applicable en matière de cookies n’était pas encore consolidé et que les sanctions prononcées sont manifestement injustifiées et disproportionnées.

31. En premier lieu, la formation restreinte observe que l’article 66 du règlement intérieur de la CNIL dispose que Les séances de la formation restreinte sont présidées par son président ou, en cas d’empêchement, par son vice-président. Le président de séance dirige les débats et assure la police de la séance. Il peut ordonner toute suspension qu’il juge utile . La suspension évoquée dans le cadre de cet article ne concerne pas la suspension de la procédure de sanction, mais vise la suspension de la séance de la formation restreinte.

32. En deuxième lieu, les sociétés ont déjà fait valoir ces mêmes arguments auprès du président de la formation restreinte dans leur courrier du 27 septembre 2021, lequel a refusé de faire droit à la demande de suspension par courrier du 4 octobre, en considérant que la décision d’engager une procédure de sanction appartient au président de la Commission et qu’il n’entre pas dans les pouvoirs du président de la formation restreinte d’en ordonner la suspension. Le président de la formation restreinte rappelait également dans ce courrier qu’en application de l’article L. 4 du code de justice administrative, la requête en annulation formée contre la délibération de la formation restreinte du 7 décembre 2020 devant le Conseil d’État n’a pas d’effet suspensif et, qu’au surplus, la date à laquelle cette juridiction examinera ce dossier n’était pas connue. Il ajoutait enfin que la création d’un groupe de travail au sein du CEPD n’était pas de nature, en tout état de cause, à justifier une suspension de la procédure de sanction.

33. En troisième lieu, la décision du Conseil d’État pourrait ne pas intervenir avant plusieurs mois.

34. En dernier lieu, s’agissant de la création du groupe de travail par le CEPD concernant les bandeaux cookies, la formation restreinte relève que l’issue de ces travaux n’est pas connue à ce jour.

35. La formation restreinte considère dès lors qu’il n’y a pas lieu de surseoir à statuer.

B. Sur le grief tiré de la violation du principe non bis in idem

36. Les sociétés soutiennent que la formation restreinte ne peut se prononcer une nouvelle fois sur les mêmes faits que ceux concernés par les délibérations n° SAN-2020-012 du 7 décembre 2020 et n° SAN-2021-004 du 30 avril 2021, sans violer le principe non bis in idem. Elles font valoir que les parties concernées par cette procédure et les précédentes délibérations précitées sont identiques, que les deux procédures concernent les mêmes faits et qu’une décision définitive, la délibération n° SAN-2021-004 du 30 avril 2021, est intervenue.

37. En premier lieu, la formation restreinte relève que, dans sa délibération n° SAN-2020-012 du 7 décembre 2020, elle a retenu un manquement à l’article 82 de la loi Informatique et Libertés compte tenu du défaut d’information des personnes, du défaut de recueil du consentement des personnes avant le dépôt des cookies sur leur terminal et du caractère partiellement défaillant du mécanisme d’opposition mis en place par [V]. Elle a également prononcé à leur encontre une injonction de mettre en conformité le traitement avec les obligations résultant de l’article 82 de la loi informatique et libertés , en particulier :
o Informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site [V].fr :
- des finalités de tous les cookies soumis au consentement,
- des moyens dont elles disposent pour les refuser .

38. La formation restreinte relève ainsi que la première procédure ayant abouti à la délibération précitée comportait une injonction relative à l’information des utilisateurs sur les finalités des cookies soumis au consentement et sur les moyens de refuser les cookies. La procédure actuelle porte sur les modalités de refus elles-mêmes, et non uniquement sur l’information. Ainsi, les deux procédures ne concernent pas les mêmes faits.

39. En deuxième lieu, les sociétés font valoir que, aux termes de la délibération n° SAN-2020-012 du 7 décembre 2020, la formation restreinte leur a enjoint de se conformer à l’article 82 de la loi Informatique et Libertés dans toutes ses dispositions et de fournir notamment, mais non exclusivement en raison de l’utilisation des termes en particulier , des informations sur les finalités des cookies et sur les moyens de s’y opposer. Elles ajoutent que, par la délibération n° SAN-2021-004 du 30 avril 2021, la formation restreinte aurait décidé que le mécanisme de consentement et de rejet des cookies, dans son entièreté, était conforme à l’article 82 de la loi Informatique et Libertés et que les sociétés auraient satisfait à l’injonction dans le délai imparti.

40. La formation restreinte ne souscrit pas à cette analyse. Le rapport de sanction de la procédure antérieure ne portait que sur l’information mise en place par les sociétés sur le bandeau cookies, sur le dépôt de cookies sans consentement et sur la défaillance partielle du mécanisme d’opposition . Il ne fait donc aucun doute que la formation restreinte n’a pas pu se prononcer sur ce dont elle n’était pas saisie dans le cadre de la procédure contradictoire. Ainsi, si les mots en particulier peuvent porter à confusion, lorsque la formule est prise de manière isolée, la formation restreinte rappelle que cette injonction ne saurait être lue de manière décorrélée de l’ensemble de la décision correspondante. Or, dans le cadre de cette précédente procédure, la formation restreinte ne s’est prononcée que sur le périmètre précité et l’injonction n’a été prononcée qu’en lien avec l’information des personnes. Les modalités de refus des opérations de lecture et/ou d’écriture, qui sont l’objet de la présente procédure de sanction, ne rentraient pas dans le champ de cette injonction. La délibération n° SAN-2021-004 du 30 avril 2021 devant nécessairement être lue à la lumière de la délibération n° SAN-2020-012 du 7 décembre 2020, il ne saurait être considéré que l’injonction prononcée portait sur l’ensemble des obligations résultant de l’article 82 de la loi Informatique et Libertés .

41. À cet égard, la formation restreinte relève que, dans deux courriers du 17 février 2021 adressés aux sociétés, le secrétaire général de la CNIL a rappelé que, comme cela ressort des motifs et du dispositif de la délibération n° SAN-2020-012 du 7 décembre 2020, la conformité attendue dans la cadre de la procédure d’injonction portait uniquement sur l’information fournie aux personnes sur la page d’accueil du site [V].fr . Il était également indiqué que, s’agissant de l’obligation d’informer les personnes concernées de manière claire et complète des moyens mis à leur disposition pour refuser les cookies, cette question est difficilement détachable de la question des modalités de refus sur le premier niveau, par un bouton refuser ou une solution équivalente, qui n’est pas dans le champ de l’injonction . Dans une perspective d’accompagnement – et au regard des évolutions attendues au titre de l’entrée en vigueur du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ), éclairées par la recommandation du 17 septembre 2020, et pour lesquelles une période d’adaptation avait été laissée par la CNIL aux acteurs jusqu’au 1er avril 2021 – le courrier comportait une analyse excédant le périmètre de l’injonction prononcée par la formation restreinte, qui portait sur les éléments fournis par les sociétés en réponse à l’injonction, éléments qui dépassaient eux-mêmes le périmètre du dispositif de la délibération. Dans ce cadre, il était rappelé aux sociétés qu’il doit être aussi facile de donner son consentement que de refuser de le donner ou de le retirer et il leur était indiqué qu’il leur reviendrait d’insérer sur le bandeau d’information un bouton Je refuse à côté du bouton J’accepte , tout en précisant qu’elles pouvaient bien entendu changer les intitulés de ces boutons tant qu’ils permettent à l’utilisateur de comprendre clairement et directement les conséquences de ses choix . Si ce courrier ne revêt aucune valeur impérative, la formation restreinte relève qu’aux termes d’un courrier que [Y] a adressé au président de la formation restreinte le 30 mars 2021, la société avait répondu : nous partageons l’analyse des services de la CNIL selon laquelle le mécanisme de consentement de [V] n’entre pas dans le périmètre de l’injonction prononcée par la formation restreinte dans sa délibération du 7 décembre 2020 .

42. Dès lors, les sociétés ne sauraient affirmer que la formation restreinte a validé le nouveau bandeau cookies mis en place par leurs soins à la suite de la première procédure de sanction, alors même qu’elles avaient elles-mêmes pleinement conscience que le mécanisme de consentement et de rejet des cookies, dans son entièreté, n’était pas l’objet de cette procédure précédente et que la CNIL a rappelé à différentes occasions qu’elle ne se prononçait pas sur ce point dans le cadre de la précédente procédure.

43. La formation restreinte relève en effet que, dans son communiqué de presse relatif à la clôture de l’injonction du 4 mai 2021, la CNIL avait également pris soin de préciser que : Saisie avant la fin de la période d’adaptation laissée aux acteurs par la CNIL, la formation restreinte n’a pas examiné la conformité du bandeau d’information fourni sur le site [V].fr aux nouvelles règles en matière de cookies, portant notamment sur le consentement, qui sont éclairées par les lignes directrices et la recommandation du 17 septembre 2020. Cette décision de clôture ne préjuge donc pas de l’analyse de la CNIL quant à la conformité de [V].fr à ces exigences, selon lesquelles l’utilisateur doit désormais être en mesure de refuser les cookies aussi facilement qu’il peut les accepter. La CNIL se réserve désormais la possibilité de contrôler ces modalités de refus et, si nécessaire, de mobiliser l’ensemble de sa chaîne répressive .

44. En dernier lieu, la formation restreinte relève que la présente procédure vise à la fois les sites internet [V].fr et [W].com , alors que la précédente procédure ne portait que sur le site [V].fr .

45. La formation restreinte considère dès lors que le grief tiré de la violation du principe non bis in idem doit être écarté.

C. Sur la compétence de la CNIL

1. Sur la compétence matérielle de la CNIL et la non-application du mécanisme de guichet unique prévu par le RGPD

46. Les traitements objets du contrôle diligenté le 1er juin 2021 par une délégation de la CNIL sont effectués dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques proposés au sein de l’Union européenne. À ce titre, ils entrent dans le champ d’application matériel de la directive ePrivacy .

47. L’article 5, paragraphe 3, de cette directive, relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés , au sein du chapitre IV de la loi relatif aux Droits et obligations propres aux traitements dans le secteur des communications électroniques.

48. Aux termes de l’article 16 de la loi Informatique et Libertés , la formation restreinte prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi . Au titre de l’article 20, paragraphe III, de cette même loi, lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l'informatique et des libertés […] peut saisir la formation restreinte .

49. La rapporteure considère que la CNIL est matériellement compétente en application de ces dispositions pour contrôler et sanctionner les opérations d’accès ou d’inscription d’informations mises en œuvre par les sociétés dans les terminaux des utilisateurs des sites [V].fr et [W].com en France.

50. Les sociétés contestent la compétence de la CNIL et estiment qu’elles devraient se voir appliquer le cadre procédural prévu par le RGPD, c’est-à-dire le mécanisme de coopération entre les autorités de contrôle, dit mécanisme de guichet unique , prévu au chapitre VII du Règlement. En application de ce mécanisme, l’autorité de contrôle compétente pour connaître des faits en cause ne serait pas la CNIL mais l’autorité de protection des données irlandaise, la Data Protection Commissionner (ci-après la DPC ), qui devrait agir en qualité d'autorité chef de file à l’égard du déploiement des cookies, celle-ci étant compétente selon les sociétés aussi bien au titre du RGPD que de la directive ePrivacy .

51. À ce soutien, les sociétés invoquent notamment le lien inextricable entre le RGPD et la directive ePrivacy , considérant que l’application du RGPD ne peut être exclue lorsque l’article 82 de la loi Informatique et Libertés s’applique. Elles invoquent également le principe de lex specialis – lex generalis en vertu duquel, selon elles, la directive ePrivacy précise et complète le RGPD. Les sociétés considèrent que l’absence de règles spécifiques relatives à la détermination de la compétence de l’autorité de contrôle en cas de traitements transfrontaliers relevant du champ d’application de la directive ePrivacy devrait se voir suppléée par l’application du cadre procédural prévu par le RGPD. Elles soutiennent que l’application du mécanisme de guichet unique est non seulement conforme à l’intention du législateur européen, mais aussi à l’interprétation du CEPD, et correspond en outre à la position adoptée par plusieurs autorités européennes. Elles relèvent à cet égard que le pouvoir laissé aux États membres quant au choix de l’autorité nationale chargée de veiller au respect de la directive ePrivacy ne fait pas obstacle à l’application du mécanisme de guichet unique prévu par le RGPD, dans la mesure où des accords de coopération entre ces autorités ont été conclus dans plusieurs États membres afin que les autorités de protection des données et les autorités chargées de l’application de la directive ePrivacy , s’il s’agit d’autorités différentes, puissent exercer conjointement des pouvoirs d’exécution sur une question relevant du champ d’application du RGPD et de la directive ePrivacy et ainsi participer au mécanisme de guichet unique.

52. Les sociétés ajoutent en outre que l’annonce du CEPD du 27 septembre 2021 relative à la création d’un groupe de travail sur les bandeaux cookies en réponse au nombre important de plaintes récemment déposées auprès des autorités de contrôle par l’association NOYB constitue une preuve selon laquelle le CEPD considère que les violations liées aux cookies relèvent directement du champ d’application du RGPD et, par conséquent, du mécanisme de guichet unique .

53. À titre liminaire, la formation restreinte souligne la distinction qu’il convient d’opérer entre, d’une part, les opérations consistant à déposer et à lire un cookie sur le terminal d’un utilisateur et, d’autre part, l’utilisation ultérieure qui est faite des données générées par ces cookies, par exemple à des fins de profilage, généralement désignée sous l’expression traitements subséquents (dits également ultérieurs ). Chacune de ces deux étapes successives est soumise à un régime juridique différent : tandis que les opérations de lecture et d’écriture dans un terminal sont régies par des règles spéciales, fixées par la directive ePrivacy - en l’occurrence, par son article 5 paragraphe 3 -, et transposées en droit national, les traitements subséquents sont quant à eux régis par le RGPD et, à ce titre, peuvent être soumis au mécanisme de guichet unique dans l’hypothèse où ils seraient transfrontaliers.

54. En l’espèce, la formation restreinte rappelle que la présente procédure ne vise que les opérations de lecture et d’écriture mises en œuvre dans le terminal de l’utilisateur situé en France se rendant sur le moteur de recherche [V] et [W], les constatations matérielles effectuées par la délégation lors du contrôle en ligne du 1er juin 2021 n’ayant porté que sur ces opérations, sans s’intéresser aux traitements subséquents mis en œuvre à partir des données collectées via ces cookies.

55. En premier lieu, la formation restreinte relève qu’il ressort des dispositions citées ci-avant que le législateur français a chargé la CNIL de veiller au respect des dispositions de la directive ePrivacy transposées à l’article 82 de la loi Informatique et Libertés , en lui confiant notamment le pouvoir de sanctionner toute méconnaissance de cet article. Elle souligne que cette compétence a notamment été reconnue par le Conseil d’État dans sa décision Association des agences-conseils en communication du 19 juin 2020 concernant la délibération de la CNIL no 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur. Le Conseil d’État a en effet relevé que l’article 20 de cette loi confie [au] président [de la CNIL] le pouvoir de prendre les mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d’être prononcées (CE, 19 juin 2020, req. 434684, pt. 3).

56. En deuxième lieu, la formation restreinte considère que lorsqu’un traitement peut relever à la fois du champ d’application matériel de la directive ePrivacy et du champ d’application matériel du RGPD, il convient de se référer aux dispositions pertinentes des deux textes qui prévoient leur articulation. Ainsi, l’article 1er, paragraphe 2, de la directive ePrivacy dispose que les dispositions de la présente directive précisent et complètent la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 sur la protection des données personnelles (ci-après la directive 95/46/CE sur la protection des données personnelles ), étant rappelé que depuis l’entrée en application du Règlement, les références faites à cette dernière directive doivent s’entendre comme faites au RGPD, conformément à l’article 94 de ce dernier. De même, il ressort du considérant 173 du RGPD que ce texte prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel soumis à des obligations spécifiques ayant le même objectif [de protection des libertés et droits fondamentaux] énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques . Cette articulation a été confirmée par la CJUE dans sa décision Planet49 du 1er octobre 2019 (CJUE, 1er octobre 2019, C 673/17, pt. 42).

57. À cet égard, la formation restreinte relève que, contrairement à ce que soutiennent les sociétés, la directive ePrivacy constitue un corps de règles spéciales, qui prévoit bien, pour les obligations spécifiques qu’elle comporte, son propre mécanisme de mise en œuvre et de contrôle de son application au sein de son article 15bis. Ainsi, le premier paragraphe de cet article laisse aux États membres la compétence pour déterminer le régime des sanctions, y compris des sanctions pénales s’il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et [prendre] toute mesure nécessaire pour assurer la mise en œuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l’infraction, même si celle-ci a été ultérieurement corrigée . La règle posée au 3) de l’article 5 de la directive ePrivacy , selon laquelle les opérations de lecture et/ou d’écriture doivent systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information, constitue une règle spéciale au regard du RGPD puisqu’elle interdit de se prévaloir des bases légales mentionnées à l’article 6 de ce dernier pour pouvoir licitement procéder à ces opérations de lecture et/ou d’écriture sur le terminal. Le contrôle de cette règle relève donc bien du mécanisme spécial de contrôle et sanction prévu par la directive ePrivacy , et non des autorités de protection de données et du CEPD en application du RGPD. C’est par un choix propre que le législateur en France a confié cette mission à la CNIL. De plus, le deuxième paragraphe du même article oblige les États membres à veiller à ce que l’autorité nationale compétente et, le cas échéant, d’autres organismes nationaux aient le pouvoir d’ordonner la cessation des infractions visées au paragraphe I .

58. Au vu de ce qui précède, la formation restreinte considère qu’en application de l’adage specialia generalibus derogant, les règles spécifiques relatives aux cookies qui découlent de la directive ePrivacy prévalent sur les règles générales du RGPD. Ainsi, le mécanisme de guichet unique prévu par le RGPD ne peut être appliqué aux traitements visés par la directive, comme le prétendent les sociétés.

59. En troisième lieu, la formation restreinte ajoute que cette exclusion est corroborée par le fait que les États membres, qui sont libres de déterminer l’autorité nationale compétente pour connaître des violations des dispositions nationales prises en application de la directive ePrivacy , peuvent avoir attribué cette compétence à une autorité autre que leur autorité nationale de protection des données instituée par le RGPD, en l’occurrence à leur autorité de régulation des télécommunications. Dès lors, dans la mesure où ces dernières autorités ne font pas partie du CEPD, alors que ce comité joue une fonction incontournable dans le mécanisme de contrôle de la cohérence mis en œuvre au chapitre VII du RGPD, il est de fait impossible d’appliquer le guichet unique à des pratiques susceptibles d’être sanctionnées par des autorités de contrôle nationales ne siégeant pas au sein de ce comité.

60. La formation restreinte souligne que les accords de coopération passés entre autorités de protection des données et autorités de régulation des télécommunications dans certains États membres, invoqués par la société, ont pour but d’instaurer une coopération au niveau national entre les différents régulateurs afin d’assurer la cohérence de leurs doctrines sur des sujets connexes mais n’ont pas pour objectif de faire participer en tant que telles les autorités de régulation des télécommunications au mécanisme de guichet unique prévu par le chapitre VII du RGPD.

61. En quatrième lieu, la formation restreinte note que le CEPD a, dans son avis n° 5/2019 du 12 mars 2019 relatif aux interactions entre la directive vie privée et communications électroniques et le RGPD, explicitement exclu l’application du mécanisme de guichet unique à des faits relevant matériellement de la directive ePrivacy en ces termes : conformément au chapitre VII du RGPD, les mécanismes de coopération et de cohérence dont disposent les autorités de protection des données au titre du RGPD concernent le contrôle de l’application des dispositions du RGPD. Les mécanismes du RGPD ne s’appliquent pas au contrôle de l’application des dispositions de la directive vie privée et communications électroniques en tant que telle (CEPD, avis 5/2019, 12 mars 2019, pt. 80).

62. En cinquième lieu, la formation restreinte relève que la CJUE, dans un arrêt Facebook Belgium rendu le 15 juin 2021, a repris l’avis 5/2019 du CEPD précité. La CJUE a suivi sur ce point les conclusions de son avocat général, M. BOBEK, lequel estimait qu’ afin de décider si une affaire relève effectivement du champ d’application matériel du RGPD, une juridiction nationale, y compris toute juridiction de renvoi, est tenue de rechercher la source précise de l’obligation légale pesant sur un opérateur économique dont il est allégué qu’il l’a enfreinte. Si la source de cette obligation n’est pas le RGPD, les procédures établies par cet instrument, qui sont liées à son objectif principal, ne sont logiquement pas non plus applicables (CJUE, conclusions de l’avocat général M. BOBEK, 13 janvier 2021, Facebook Belgium, C 645/19, pts. 37 et 38).

63. En l’occurrence, la formation restreinte relève que, dans la présente procédure, la source précise de l’obligation légale objet du contrôle trouve son origine dans l’article 5, paragraphe 3, de la directive ePrivacy , transposé à l’article 82 de la loi Informatique et Libertés , éclairé par les conditions du consentement tel que prévu par le RGPD, l’article 2, f), de la directive ePrivacy prévoyant que le consentement d’un utilisateur correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD.

64. La formation restreinte souligne également que d’autres autorités nationales de protection des données ont également déjà prononcé des sanctions portant sur des manquements relatifs aux opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs. L’autorité espagnole a ainsi rendu plusieurs décisions de sanction à l’encontre de différents responsables de traitement en application exclusive des dispositions nationales transposant la directive ePrivacy , en l’occurrence l’article 22, paragraphe 2 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico, sans que soit mise en œuvre la procédure de coopération instituée par le RGPD.

65. En sixième lieu, la formation restreinte note que l’éventuelle application du mécanisme de guichet unique à un traitement encadré par la directive ePrivacy fait l’objet de nombreuses discussions dans le cadre de l’élaboration du projet de règlement ePrivacy en cours de négociation depuis plus de quatre ans au niveau européen. L’existence même de ces débats confirme qu’en l’état, le mécanisme de guichet unique prévu par le RGPD n’est pas applicable aux matières régies par l’actuelle directive ePrivacy .

66. En dernier lieu, selon la formation restreinte, la création d’un groupe de travail sur les bandeaux cookies en réponse au nombre important de plaintes déposées auprès des autorités de contrôle européennes par l’association NOYB ne signifie pas, contrairement à ce qui est soutenu, que le CEPD considère que toutes les violations liées aux cookies relèvent nécessairement du champ d’application du RGPD. La formation restreinte note d’ailleurs que certaines des questions évoquées dans ces plaintes concernent les traitements subséquents qui, eux, relèvent du RGPD. En outre, en application de l’article 70, paragraphe 1 u), le CEPD a notamment pour mission de promouvoir la coopération et l’échange bilatéral et multilatéral effectif d’informations et de bonnes pratiques entre les autorités de contrôle. L’objet du groupe de travail est ainsi d’échanger sur l’analyse des nombreuses plaintes déposées par l’association NOYB. La création de ce groupe de travail ne remet pas en cause la position du CEPD, dans son avis 5/2019 précité.

67. Ainsi, la formation restreinte considère que le mécanisme de guichet unique prévu par le RGPD n’est pas applicable à la présente procédure et que la CNIL est compétente pour contrôler et sanctionner les traitements consistant en des opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs situés en France mis en œuvre par les sociétés relevant du champ d’application de la directive ePrivacy , sous réserve qu’ils se rattachent à sa compétence territoriale.

2. Sur la compétence territoriale de la CNIL

68. La règle d’application territoriale des exigences fixées à l’article 82 de la loi Informatique et Libertés est fixée à l’article 3, paragraphe I, de la loi Informatique et Libertés qui dispose : sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France .

69. La rapporteure considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche [V] et de [W], notamment à des fins publicitaires, est effectué dans le cadre des activités de la société [Z], qui constitue l’établissement sur le territoire français du groupe [V].

70. Les sociétés renvoient, quant à elles, sur ce point aux observations qu’elles avaient produites dans le cadre de la précédente procédure de sanction et dans lesquelles elles soutenaient que, dans la mesure où il conviendrait de faire application des règles de compétence et des procédures de coopération définies par le RGPD, la CNIL ne disposerait pas de la compétence territoriale pour connaître de cette affaire étant donné que le siège réel du groupe [V] en Europe, soit le lieu de son administration centrale au sens de l’article 56 du RGPD, est situé en Irlande.

71. La formation restreinte retient de nouveau que les faits en cause relèvent matériellement des dispositions de la directive ePrivacy , et non du RGPD. Il en résulte qu’il convient de se référer aux dispositions de l’article 3, paragraphe I, de la loi Informatique et Libertés , déterminant le champ de la compétence territoriale de la CNIL.

72. À cet égard, la formation restreinte souligne que la directive ePrivacy ne fixe pas elle-même explicitement la règle d’application territoriale des différentes lois de transposition adoptées par chaque État membre. Cependant, cette directive indique qu’elle précise et complète la directive 95/46.CE , laquelle prévoyait à l’époque, à son article 4, que Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable . Si cette règle de détermination de la loi nationale applicable au sein de l’Union n’a plus lieu d’être pour l’application des règles du RGPD, qui a remplacé la directive 95/46/CE sur la protection des données personnelles et s’applique uniformément sur tout le territoire de l’Union, il apparaît que le législateur français a maintenu ces critères d’application territoriale pour les règles spécifiques contenues dans la loi Informatique et Libertés , et donc en l’espèce pour celles qui transposent la directive ePrivacy . Dès lors, la jurisprudence de la CJUE sur l’application de l’article 4 de l’ancienne directive 95/46/CE sur la protection des données personnelles demeure pertinente pour éclairer la portée à donner à ces deux critères.

73. En premier lieu, s’agissant de l’existence d’un établissement du responsable de traitement sur le territoire français , la CJUE a considéré de façon constante que la notion d’établissement devait être appréciée de façon souple et qu’à cette fin, il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un autre État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question (voir, par exemple, CJUE, Weltimmo, 1er oct. 2015, C 230/14, pts. 30 et 31). La CJUE estime en outre qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).

74. En l’occurrence, la formation restreinte relève, tout d’abord, que la société [Z] est le siège de la filiale française de la société [X], qu’elle dispose de locaux situés à Paris, qu’elle emploie environ […] personnes et que, selon ses statuts déposés auprès du greffe du tribunal de commerce de Paris, elle a notamment pour objet la fourniture de services et/ou conseils relatifs aux logiciels, au réseau internet, aux réseaux télématiques ou en ligne, notamment l’intermédiation en matière de vente de publicité en ligne, la promotion sous toutes ses formes de la publicité en ligne, la promotion directe de produits et services et la mise en œuvre de centres de traitement de l’information . La formation restreinte relève, ensuite, ainsi qu’elle l’a rappelé dans sa délibération du 7 décembre 2020, que la société [Z] est chargée d’assurer la promotion de la publicité en ligne pour le compte de la société [Y], qui est co-contractante des contrats publicitaires conclus avec les entreprises françaises ou filiales françaises de sociétés étrangères et que la société [Z] participe de manière effective à la promotion des produits et services conçus et développés par la société [X], tels que [V], en France, ainsi qu’aux activités publicitaires gérées par la société [Y] (délibération de la formation restreinte n°SAN-2020-012 du 7 décembre 2020 concernant les sociétés [X] et [Y], pt. 42). Elle relève que ces constats apparaissent toujours valables à la date de la présente délibération.

75. En second lieu, s’agissant de l’existence d’un traitement effectué dans le cadre des activités de cet établissement, la formation restreinte relève que la CJUE a, dans son arrêt Google Spain du 13 mai 2014, considéré que le traitement relatif au moteur de recherche [V] était effectué dans le cadre des activités de la société GOOGLE SPAIN, établissement de la société GOOGLE INC - devenue depuis GOOGLE LLC. -, dans la mesure où cette société est destinée à assurer en Espagne la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ce moteur de recherche. La CJUE a précisé que l’article 4, paragraphe 1, sous a), de la directive 95/46 exige non pas que le traitement de données à caractère personnel en question soit effectué par l’établissement concerné lui-même, mais uniquement qu’il le soit dans le cadre des activités de celui-ci (pt. 52). Selon la Cour, l’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre (pt. 60).

76. En outre, la formation restreinte relève que la CJUE a par la suite considéré, dans ses décisions Wirtschaftsakademie et Facebook Belgium, que le traitement consistant en la collecte de données à caractère personnel par l’intermédiaire de cookies déposés dans les terminaux des utilisateurs visitant, en Allemagne et en Belgique, des pages hébergées sur le réseau social Facebook était respectivement effectué dans le cadre des activités des sociétés FACEBOOK GERMANY et FACEBOOK BELGIUM, établissements allemand et belge du groupe Facebook, dans la mesure où ces établissements sont destinés à assurer, dans leur pays respectif, la promotion et la vente des espaces publicitaires proposés par ce réseau social, qui servent à rentabiliser le service offert par Facebook (CJUE, grande chambre, 5 juin 2018, Wirtschaftsakademie, C-210/16, pts. 56 à 60 ; 15 juin 2021, Facebook Belgium, C-645/19, pts. 92 à 95). Si dans l’arrêt Google Spain, la compétence espagnole avait été retenue pour un traitement dont la responsabilité effective relevait de sociétés basées aux États-Unis, en dehors de l’Union européenne, dans ces derniers arrêts, la CJUE a étendu son raisonnement au cas où la responsabilité effective du traitement relève d’une société installée dans un autre pays de l’Union européenne.

77. La formation restreinte relève que, même si ces trois arrêts concernaient plus spécialement les traitements subséquents mis en œuvre à partir des cookies déposés dans les terminaux des utilisateurs, ce qui justifiait l’application de la directive 95/46/CE pour les affaires Google Spain et Wirtschaftsakademie et du RGPD pour l’affaire Facebook Belgium, cette jurisprudence demeure pertinente pour éclairer la portée à donner à la notion de traitement effectué dans le cadre des activités d’un établissement, dans la mesure où le législateur français l’a reprise lors de la transposition de la directive ePrivacy pour fonder la compétence territoriale de la CNIL s’agissant des traitements relevant de cette directive.

78. En l’espèce, et en complément des développements précédents figurant ci-dessus au paragraphe74 la formation restreinte relève que, selon les informations mises en ligne sur son site web, la société [Z] accompagne notamment les petites et moyennes entreprises en France à travers le développement d’outils de collaboration, de solutions publicitaires ou pour leur donner les clés de compréhension de leurs marchés et de leurs consommateurs . Ensuite, elle a déjà acté, dans sa délibération n° SAN-2020-012 du 7 décembre 2020 que, dans son courrier du 30 avril 2020 la société [Y] indique que [Z] dispose d’une équipe de vente dédiée à la promotion et à la vente des services de [Y] à l’égard des annonceurs et des éditeurs basés en France, comme [V] Ads (point n° 44). Ce constat apparaît toujours valable à la date de la présente délibération. La formation restreinte relève enfin qu’il est précisé sur le site web ads.[V].com que [V] Ads permet aux entreprises françaises de mettre leurs produits ou services en avant sur le moteur de recherche et sur un large réseau publicitaire .

79. Ainsi, le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs du moteur de recherche [V] et de [W] résidant en France, notamment à des fins publicitaires, est effectué dans le cadre des activités de la société [Z] sur le territoire français, laquelle est en charge de la promotion et de la commercialisation des produits [V] et de leurs solutions publicitaires en France. La formation restreinte relève que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont donc réunis.

80. Il en résulte que le droit français est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive ePrivacy .

D. Sur le grief tiré de l’illégalité de la présente procédure de sanction

81. Les sociétés contestent le fait de n’avoir reçu aucune mise en demeure avant que la présidente de la CNIL ne décide d’ouvrir une procédure de sanction, contrairement à d’autres acteurs, invoquant ainsi une différence de traitement entre [Y] et [X] et la soixantaine de sociétés que la CNIL a déclaré avoir mis en demeure pour des agissements similaires dans ses communiqués des 25 mai et 19 juillet 2021 diffusés sur son site web.

82. En premier lieu, s’agissant de l’argument des sociétés selon lequel les dispositions qui leur sont opposées par la rapporteure sont entrées en vigueur moins de cinq mois avant le début de la procédure de sanction, la formation restreinte rappelle que, dans le cadre de la présente délibération, elle se fonde exclusivement sur les dispositions de l’article 82 de la loi Informatique et Libertés , éclairées par les exigences renforcées en matière de consentement du RGPD, entré en application en mai 2018. Dès lors, le cadre juridique applicable aux faits à l’origine de la présente procédure de sanction est parfaitement établi.

83. La formation restreinte rappelle en outre que, dès juin 2019 et à différentes reprises par la suite, la CNIL a communiqué sur son plan d’action qui comportait deux étapes principales : la publication de nouvelles lignes directrices en juillet 2019 et la concertation avec les professionnels pour élaborer une nouvelle recommandation, proposant des modalités opérationnelles de recueil du consentement. La CNIL avait précisé, dans un communiqué de presse du 28 juin 2019, qu’elle procèderait à des vérifications du respect de la recommandation six mois après son adoption définitive. La formation restreinte note que la CNIL avait été parfaitement transparente sur le calendrier, afin de laisser le temps aux organismes de se mettre en conformité avant d’effectuer des contrôles.

84. En deuxième lieu, la formation restreinte rappelle que, conformément à l’article 20 de la loi Informatique et Libertés , le président de la CNIL n’est pas tenu d’adresser une mise en demeure à un responsable de traitement avant d’engager une procédure de sanction à son encontre. Elle ajoute que la possibilité d’engager directement une procédure de sanction a été confirmée par le Conseil d’État (voir, notamment, CE, 4 nov. 2020, req. n° 433311, pt. 3).

85. Elle note en outre que le secrétaire général de la CNIL avait rappelé aux sociétés, dans ses courriers du 17 février 2021, qu’il doit être aussi facile de donner son consentement que de refuser de le donner ou de le retirer. Elle relève également que les sociétés [X] et [Y] ont déjà fait l’objet d’une procédure de sanction portant sur leur politique en matière de cookies. Les sociétés savaient parfaitement qu’elles s’exposaient à d’éventuelles autres sanctions puisque, aux termes d’un communiqué de presse publié le 4 mai 2021, la CNIL avait indiqué que la clôture de l’injonction ne portait que sur le périmètre de l’injonction prononcée par la formation restreinte dans sa délibération du 7 décembre 2020. Elle précisait que cette décision de clôture ne préjugeait pas de l’analyse de la CNIL quant à la conformité de [V].fr aux autres règles en matière de cookies, portant notamment sur le consentement, qui sont éclairées par les lignes directrices et la recommandation du 17 septembre 2020, selon lesquelles l’utilisateur doit désormais être en mesure de refuser les cookies aussi facilement qu’il peut les accepter. La CNIL précisait se réserver la possibilité de contrôler ces modalités de refus et, si nécessaire, de mobiliser l’ensemble de sa chaîne répressive, étant précisé que la CNIL avait reçu plusieurs plaintes à ce sujet.

Ainsi, la formation restreinte considère que les sociétés [X] et [Y] ne se trouvaient pas dans la même situation que d’autres organismes faisant l’objet de mises en demeure de la part de la CNIL et que le grief tiré de l’illégalité de la procédure de sanction doit être écarté.

E. Sur la demande de question préjudicielle

86. Les sociétés demandent subsidiairement à la formation restreinte de saisir la Cour de justice de l’Union européenne (ci-après la CJUE ) d’une question préjudicielle en ces termes : l’absence d’un bouton "tout refuser" à côté d’un bouton "tout accepter" doit-elle être considérée comme une violation de l’article 4, paragraphe 11 et de l’article 7 du RGPD, lus conjointement avec l’article 5, paragraphe 3 de la directive e-Privacy alors que le responsable de traitement donne à la personne concernée le droit de refuser ledit traitement dans le second niveau du bandeau cookies et par le biais des paramètres du navigateur et l’informe de cette possibilité de refuser le traitement et des moyens dont il dispose pour le faire dès le premier niveau du bandeau cookies ? . Les sociétés estiment que la formation restreinte est une juridiction au sens de l’article 267 du traité pour le fonctionnement de l’Union européenne (ci-après TFUE ) et qu’elle répond aux critères d’une juridiction : elle est établie de manière permanente par la loi Informatique et Libertés ; elle a une juridiction obligatoire lorsque le président de la CNIL décide d’initier une procédure de sanction ; elle suit une procédure de nature contradictoire opposant le rapporteur et le mis en cause ; elle applique des règles de droit et est indépendante et impartiale.

87. La formation restreinte rappelle que, pour qu’un organe puisse adresser une question préjudicielle à la CJUE, il doit bénéficier de la qualité de juridiction au sens de l’article 267 TFUE, notion autonome en droit de l’Union. Pour apprécier cette qualité, la CJUE prend en considération les critères suivants : origine légale de l’organe, sa permanence, son caractère obligatoire, nature contradictoire de sa procédure, application des règles de droit, son indépendance et nature juridictionnelle de ses décisions.

88. La formation restreinte relève qu’elle n’est pas qualifiée de juridiction en droit interne : aucune disposition législative ne lui a reconnu cette qualité. Si, ainsi que le relèvent les sociétés, le Conseil d’État a déjà jugé qu’ eu égard à sa nature, à sa composition et à ses attributions , la formation restreinte peut être qualifiée de tribunal au sens de l’article 6-1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après la CESDH ) (Conseil d'État, juge des référés, 19 février 2008, n° 311974), cette décision ne lui reconnaît pas pour autant la qualité de juridiction.

89. La formation restreinte considère, contrairement à ce que soutiennent les sociétés, que les critères retenus par la CJUE sur la notion de juridiction au sens de l’article 267 TFUE, notamment dans son récent arrêt ANESCO (CJUE, 16 sept. 2020, Anesco, C-462/19), ne sont pas remplis par la formation restreinte. En effet, dans cet arrêt, la CJUE a indiqué que, force est de constater que les décisions que la CNMC [l’autorité de la concurrence espagnole] est amenée à adopter dans les affaires telles que celle en cause au principal s’apparentent à des décisions de nature administrative, excluant qu’elles soient adoptées dans l’exercice de fonctions juridictionnelles (§41). Or, il en va de même s’agissant des décisions prises par la formation restreinte, qui sont des décisions de nature administrative puisqu’il s’agit de décisions de sanction qui participent à l’effectivité de l’action de la CNIL dans son pouvoir de régulation. La décision de sanction met fin à la procédure administrative engagée et un recours contentieux administratif peut ensuite être engagé à son encontre devant le Conseil d’État.

90. En outre, la formation restreinte relève que la Cour de cassation a considéré qu’ il résulte de ces textes du droit de l’Union européenne, tels qu’interprétés par la Cour de justice de l'Union européenne, que l’Autorité de la concurrence n’est pas une juridiction apte à lui poser une question préjudicielle en application de l'article 267 du TFUE (CJUE, arrêt du 16 septembre 2020, Anesco, C-462/19, à propos de la Comisión Nacional de los Mercados y la Competencia, autorité de la concurrence espagnole) (Cass. 2ème civ., 30 septembre 2021, n° 20-18.302). Or, l’Autorité de la concurrence, en tant qu’autorité administrative indépendante, présente de grandes similitudes organisationnelle et procédurale avec la formation restreinte.

91. Dès lors, la formation restreinte ne saurait être qualifiée de juridiction au sens de l’article 267 TFUE, de sorte qu’elle n’est pas apte à poser une question préjudicielle à la CJUE.

F. Sur la détermination du responsable de traitement

92. La formation restreinte relève, tout d’abord, que les articles 4, paragraphe 7, et 26, paragraphe 1, du RGPD sont applicables à la présente procédure en raison du recours à la notion de responsable de traitement dans l’article 82 de la loi Informatique et Libertés , lequel est justifié par le renvoi opéré par l’article 2 de la directive ePrivacy à la directive 95/46/CE sur la protection des données personnelles à laquelle s’est substitué le RGPD.
93. Aux termes de l’article 4, paragraphe 7, du RGPD, le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement . Aux termes de l’article 26, paragraphe 1, du RGPD, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement .

94. La rapporteure considère que les sociétés [Y] et [X] sont responsables conjoints du traitement en cause en application de ces dispositions dès lors que les sociétés déterminent toutes les deux les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation moteur de recherche [V] et de [W].

95. Les sociétés répondent que la société [Y] serait seule responsable des traitements de données à caractère personnel des utilisateurs situés dans l’espace économique européen et en Suisse.

96. La formation restreinte rappelle, que la CJUE s’est prononcée, à plusieurs reprises, sur la notion de responsabilité conjointe du traitement, notamment dans son arrêt Témoins de Jéhovah. Aux termes de celui-ci, elle a considéré que, selon les dispositions de l’article 2, sous d), de la directive 95/46 sur la protection des données personnelles, la notion de responsable du traitement vise la personne physique ou morale qui, seule ou conjointement avec d’autres , détermine les finalités et les moyens du traitement de données à caractère personnel. Cette notion ne renvoie, dès lors, pas nécessairement à une personne physique ou morale unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux dispositions applicables en matière de protection des données […]. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de responsable , une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (CJUE, 10 juillet 2018, C 25/17, pts. 65 et 66).

97. La formation restreinte considère que ces développements permettent d’éclairer utilement la notion de responsabilité de traitement conjointe invoquée par la rapporteure à l’égard des sociétés [X] et [Y] concernées par les traitements en cause.

98. La formation restreinte souligne, enfin, que si la présente procédure ne porte pas sur les mêmes faits que ceux évoqués dans le cadre de la délibération n° SAN-2020-012 du 7 décembre 2020 pour les raisons développées ci-avant, elle concerne toujours les opérations de lecture et d’écriture mises en œuvre dans le terminal de l’utilisateur situé en France par les sociétés [X] et [Y], pour lesquelles le rôle des deux sociétés a déjà été examiné par la formation restreinte dans la délibération évoquée ci-dessus.

99. La formation restreinte rappelle par ailleurs qu’elle a, dans cette même délibération du 7décembre 2020, considéré que les sociétés [X] et [Y] déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche [V] (pts. 47 à 66 de la délibération). Elle estime que ce constat est toujours valable à la date de la présente délibération et peut être étendu aux cookies utilisés sur le site [W].com , comme le démontrent les éléments développés ci-après.

1. Sur la responsabilité de la société [Y]

100. Les sociétés soutiennent que la société [Y] agit en qualité de responsable des traitements en cause, ce que considère également la rapporteure.

101. La formation restreinte partage cette analyse.

102. En premier lieu, elle relève qu’elle a retenu dans sa délibération n° SAN-2020-012, que les représentants des sociétés ont déclaré que la société [Y] participe au développement et à la supervision des politiques internes qui guident les produits et leur conception, à la mise en place des paramètres, à la détermination des règles de confidentialité et à toutes les vérifications réalisées avant le lancement des produits, en application du principe privacy by design .

103. En second lieu, elle rappelle qu’elle a également souligné que, s’agissant plus particulièrement des cookies, les représentants ont déclaré […] que [Y] applique, par exemple, des durées de conservation des cookies plus courtes par rapport à d’autres régions du monde et qu’elle limite l’étendue des traitements liés à la personnalisation de la publicité en Europe par rapport au reste du monde. Par exemple, [Y] n’utilise pas certaines catégories de données pour effectuer de la publicité personnalisée telles que les ressources du foyer supposées. La société [Y] ne met pas en place de publicité personnalisée pour les enfants dont elle suppose qu’ils sont mineurs au sens du RGPD .

104. La formation restreinte en a conclu que la société [Y] est, au moins pour partie, responsable du traitement contrôlé consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche [V] .

105. La formation restreinte considère qu’aucune modification du rôle de la société [Y] n’apparaît avoir eu lieu depuis ce récent constat, qui demeure donc valable. Elle considère qu’il en va de même s’agissant du site [W].com dès lors que, dans les conditions d’utilisation de [V], accessibles à la fois via les sites [V].fr et [W].com , il est indiqué de manière identique que : Dans l'Espace économique européen (EEE) et en Suisse, les services [V] vous sont fournis par la société ci-dessous avec laquelle vous concluez un contrat : [Y] .

106. Ainsi, la société [Y] est, au moins pour partie, responsable des traitements consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche [V] et de [W].

2. Sur la responsabilité de la société [X]

107. Les sociétés contestent l’analyse de la rapporteure selon laquelle la société [X] partagerait la responsabilité des traitements en cause avec la société [Y].

108. La formation restreinte a déjà pris position à ce sujet, dans sa délibération n° SAN-2020-012 du 7 décembre 2020.

109. En premier lieu, elle avait relevé que, lors de l’audition du 22 juillet 2020, les représentants des sociétés avaient affirmé que la société [X] conçoit et construit la technologie des produits [V] et qu’en ce qui concerne les cookies déposés et lus lors de l’utilisation du moteur de recherche [V], il n’existe aucune différence de technologies entre les cookies déposés à partir des différentes versions du moteur de recherche. De même, les sociétés, dans l’information qu’elles proposent aux utilisateurs français dans les règles d’utilisation accessibles depuis [V].fr , n’opèrent aucune distinction dans leur présentation des cookies utilisés par le groupe [V] dès lors qu’elles indiquent utiliser différents types de cookies pour les produits associés aux annonces et les sites Web de [V] , ce qui inclut bien également le site [W].com selon la formation restreinte.

110. Elle relève qu’aujourd’hui encore, il n’existe aucune différence dans la présentation des cookies utilisés par [V] (information fournie aux utilisateurs français à partir de l’onglet Technologies , comment [V] utilise les cookies , après avoir cliqué sur le bouton conditions d’utilisation , accessible tant sur [V].fr que sur [W].com ). La société décrit les types de cookies utilisés par [V] , précisant que une partie ou l'ensemble des cookies décrits ci-dessous peuvent être stockés dans votre navigateur . La formation restreinte relève également que les règles de confidentialité accessibles tant depuis [V].fr que depuis [W].com confirment ce point dès lors qu’il est indiqué que Les présentes Règles de confidentialité s'appliquent à tous les services proposés par [X] et par ses sociétés affiliées, y compris [W] et Android, ainsi qu'aux services proposés sur des sites tiers, tels que les services publicitaires .

111. Ainsi, dans l’information qu’elles proposent aux utilisateurs français, les sociétés [X] et [Y] n’opèrent toujours aucune distinction dans leur présentation des cookies utilisés par le groupe [V].

112. En deuxième lieu, la formation restreinte avait également relevé, dans sa délibération précitée, que malgré la participation non contestable de la société [Y] aux différentes étapes et instances liées à la définition des modalités de mise en œuvre des cookies déposés sur [V], l’organisation matricielle décrite par les sociétés […] a mis en évidence que la société [X] est également représentée dans les organes adoptant les décisions relatives au déploiement des produits au sein de l’EEE et en Suisse et aux traitements de données à caractère personnel des utilisateurs y résidant et qu’elle y exerce une influence significative ou encore que le délégué à la protection des données désigné par la société [Y] […] ainsi que ses DPO adjoints sont basés en Californie en qualité d’employés de la société [X] .

113. En troisième lieu, la formation restreinte avait considéré que, bien qu’en vertu d’une lecture formelle du contrat de sous-traitance du 11 décembre 2018, la société [X] agirait en qualité de sous-traitant de la société [Y] dans le traitement des données des utilisateurs européens recueillies via les cookies, l’implication réelle de la société [X] dans le traitement en cause va bien au-delà de celle d’un sous-traitant qui se contenterait de procéder à des opérations de traitement pour le compte de la société [Y] et sur ses seules instructions .

114. Au vu des éléments au dossier, la formation restreinte maintient que la société [X] joue un rôle fondamental dans l’ensemble du processus décisionnel portant sur les traitements en cause. Elle détermine également les moyens des traitements étant donné que, comme évoqué ci-avant, c’est elle qui conçoit et construit la technologie des cookies déposés sur les terminaux des utilisateurs européens. La formation restreinte relève que, si elle ne s’était prononcée que s’agissant du moteur de recherche [V] dans sa délibération n° SAN-2020-012 du 7 décembre 2020, elle considère que le même raisonnement est applicable, sur la base de ces mêmes éléments, pour [W], notamment dans la mesure où, lorsque l’utilisateur clique sur Règles de confidentialité et conditions d’utilisation à partir de [W].com , il est renvoyé vers les règles de confidentialité et conditions d’utilisation du groupe [V].

115. Il résulte de l’ensemble de ce qui précède que les sociétés [X] et [Y] déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche [V] et de [W].

G. Sur le manquement aux obligations en matière de cookies

116. Aux termes de l’article 82 de la loi Informatique et Libertés , tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. […] .

117. La directive ePrivacy prévoit quant à elle en son article 2, f), que le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD.

118. Ainsi, depuis l’entrée en application du RGPD, le consentement prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11, du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.

119. À cet égard, le considérant 42 de ce Règlement prévoit que : le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice .

120. En l’espèce, dans le cadre du contrôle en ligne du 1er juin 2021, la délégation a constaté que, pour donner son consentement à la lecture et/ou à l’écriture d’informations dans son terminal, l’utilisateur se rendant sur la page d’accueil des sites [V].fr et [W].com doit uniquement cliquer sur le bouton J’accepte de la fenêtre surgissante, ce qui fait disparaître cette fenêtre et lui permet de poursuivre sa navigation. En revanche, l’utilisateur se rendant sur ces mêmes pages d’accueil et souhaitant refuser les cookies doit cliquer sur le bouton Personnaliser de cette première fenêtre, ce qui le fait accéder, à la fois sur les sites [V].fr et [W].com , à une interface lui proposant de choisir d’activer ou de désactiver les cookies, sur laquelle il a la possibilité d’effectuer différentes actions.

121. La rapporteure relève, à titre d’éclairage, qu’aux termes de ses lignes directrices 5/2020 sur le consentement au sens du Règlement (UE) 2016/679, adoptées le 4 mai 2020, le CEPD a rappelé que l’adjectif libre implique un choix et un contrôle réel pour les personnes concernées (§13).

122. De même, dans le cadre de sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs , la Commission a considéré, compte tenu des textes applicables précités, que le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité .

123. Sur le fondement des constatations effectuées dans le cadre du contrôle en ligne, la rapporteure observe ainsi que, si le bandeau affiché sur les sites [V].fr et [W].com contient un bouton permettant d’accepter immédiatement les cookies, aucun moyen analogue n’est offert à l’utilisateur pour pouvoir refuser, aussi facilement, le dépôt de ces cookies. Pour refuser les cookies, il doit effectuer au moins cinq actions (le premier clic sur le bouton Personnaliser , puis un clic sur chacun des trois boutons pour sélectionner Désactivé - chaque bouton correspondant à la personnalisation de la recherche , l’ historique [W] et la personnalisation des annonces - et enfin un clic sur Confirmer ), contre une seule action pour les accepter. Un tel mécanisme ne présente donc pas, selon la rapporteure, la même facilité que celle permettant d’exprimer son consentement, en méconnaissance des exigences légales de liberté du consentement, qui impliquent de ne pas inciter l’internaute à accepter les cookies plutôt qu’à les refuser. Elle considère ainsi que rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter, revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton j’accepte . La rapporteure en conclut que les modalités de refus des cookies mises en œuvre par les sociétés [X] et [Y] sur les sites [V].fr et [W].com ne sont pas conformes aux dispositions de l’article 82 de la loi Informatique et Libertés telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD.

124. Les sociétés considèrent que ni la directive ePrivacy , ni le RGPD, ni l’article 82 de la loi Informatique et Libertés ne prévoient que l’action de refuser les cookies doit être aussi simple que de les accepter. Elles ajoutent que, pendant de nombreuses années, la CNIL n’avait elle-même pas déduit ce principe alors même que la réglementation en cause demeurait inchangée depuis l’entrée en application du RGPD. Elles relèvent que la CNIL ne saurait, au travers de ses lignes directrices et recommandation, introduire de nouvelles exigences relatives au refus de consentement et considèrent qu’il appartient à chaque responsable de traitement de choisir la modalité de recueil du consentement la plus appropriée. En cela, les sociétés considèrent que le mécanisme de recueil du consentement mis en place sur les sites [V].fr et [W].com respecte d’ores et déjà les dispositions de l’article 82 de la loi Informatique et Libertés . Les sociétés considèrent que le fait de ne pas proposer, au premier niveau d’information, un bouton Tout refuser n’est pas contraire au principe de liberté du consentement dans la mesure où les utilisateurs ont bien la possibilité de refuser les cookies en cliquant sur le bouton Personnaliser .

125. En premier lieu, la formation restreinte rappelle qu’en application de l’article 8 I, 2°, b) de la loi Informatique et Libertés , la CNIL établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel […] .

126. C’est dans ce cadre que la CNIL a pris la délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs), qui prévoyait en son article 2, qu’il doit être aussi facile de refuser ou de retirer son consentement que de le donner ; puis les délibérations n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou d’écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs ) et n° 2020-092 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs . Ces instruments visent à interpréter les dispositions législatives applicables et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin qu’ils mettent en œuvre ces mesures ou des mesures d’effet équivalent. En ce sens, il est précisé dans les lignes directrices que celles-ci ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations […] dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion .

127. Comme indiqué ci-avant, la Commission a considéré, dans le cadre de sa recommandation du 17 septembre 2020, que le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité .

128. S’agissant des modalités de refus possibles, dans cette même recommandation, la Commission a préconisé fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d'exprimer un consentement. En effet, elle estime que les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour paramétrer un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement.

Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement tout accepter et tout refuser , autoriser et interdire , ou consentir et ne pas consentir , ou toute autre formulation équivalente et suffisamment claire. La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement .

129. La formation restreinte considère que la CNIL s’est bornée, dans sa recommandation évoquée ci-dessus, à éclairer les obligations prévues par les législateurs français et européen, en tirant notamment toutes les conséquences du principe de liberté du consentement tel que défini à l’article 4, paragraphe 11, du RGPD, et en les appliquant aux hypothèses de l’acceptation et du refus par l’utilisateur au dépôt de cookies sur son terminal. En effet, ce principe de liberté du consentement implique désormais que l’utilisateur bénéficie d’une véritable liberté de choix , comme souligné au considérant 42 du RGPD, et donc que les modalités qui lui sont proposées pour manifester ce choix ne soient pas biaisées en faveur du consentement. Ainsi que le CEPD l’a rappelé dans ses lignes directrices sur le consentement, adoptées le 4 mai 2020, l’adjectif libre implique un choix et un contrôle réel pour les personnes concernées.

130. Il apparaît ainsi que la CNIL n’a pas créé dans sa recommandation de nouvelles obligations à la charge des acteurs mais s’est bornée à illustrer concrètement comment l’article 82 de la loi doit trouver à s’appliquer.

131. En deuxième lieu, la formation restreinte relève que la position de la CNIL sur ce point, selon laquelle il doit être aussi simple pour les utilisateurs de refuser les cookies que d’y consentir, figurait déjà à l’article 2 des lignes directrices du 4 juillet 2019 - abrogées par celles du 17 septembre 2020 - et qu’elle a été entérinée par le Conseil d’État. En effet, saisi d’un recours pour excès de pouvoir formé contre ces premières lignes directrices, le Conseil d’État a jugé, dans sa décision Association des agences-conseils en communication, que la CNIL qui, en indiquant qu’il devait "être aussi facile de refuser ou de retirer son consentement que de le donner", s’est bornée à caractériser les conditions du refus de l’utilisateur, sans définir de modalités techniques particulières d’expression d’un tel refus, n’a entaché sa délibération d’aucune méconnaissance des règles applicables en la matière (CE, 19 juin 2020, n° 434684, T., pt 15).

132. La formation restreinte considère que cette lecture s’impose d’autant plus au regard des conclusions du rapporteur public sur cet arrêt, lequel relevait : Comme l’indique la CNIL, les lignes directrices attaquées n’imposent aucune modalité technique de recueil de ce refus. Elles se bornent à exiger, de manière générale et à juste titre, qu’il ne soit pas plus compliqué de refuser que d’accepter (CE, conclusions du rapporteur public sur l’arrêt n° 434684, p. 17).
133. En troisième lieu, la formation relève qu’en l’espèce, les utilisateurs résidant en France se rendant sur le moteur de recherche [V] et/ou sur [W] doivent effectuer une seule action pour accepter les cookies, alors qu’ils doivent en effectuer cinq pour les refuser. Il n’est donc pas aussi simple de refuser les cookies que de les accepter.

134. Or, il ressort de plusieurs études récentes que les organismes ayant mis en place un bouton tout refuser sur l’interface de recueil du consentement au premier niveau ont vu le taux de consentement relatif à l’acceptation des cookies diminuer. Ainsi, selon le baromètre Privacy – édition 2021 publié par la société COMMANDERS ACT, le taux de consentement sur ordinateur est passé de 70% à 55% en avril-mai 2021, depuis que la collecte du consentement est explicite. De même, selon une étude 366-Kantar, il apparaît que 41% des internautes en France ont refusé, systématiquement ou partiellement, le dépôt de cookies en juin 2021.

135. La formation restreinte considère ainsi que le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton Tout accepter . En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur Personnaliser et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Il n’est pas contesté qu’en l’espèce, les sociétés offrent un choix entre l’acceptation ou le refus des cookies, mais les modalités par lesquelles ce refus peut être exprimé, dans le contexte de la navigation sur internet, biaise l’expression du choix en faveur du consentement de façon à altérer la liberté de choix.

136. Au regard de ce qui précède, la formation restreinte considère qu’un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés , interprétées à la lumière du RGPD, est constitué, dans la mesure où les sociétés ne mettent pas à disposition des utilisateurs situés en France, sur les sites internet [V].fr et [W].com , un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage.

III. Sur les mesures correctrices et la publicité

137. L’article 20, paragraphe III, de la loi Informatique et Libertés dispose : Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]
7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. […] La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 .

138. L’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi Informatique et Libertés , prévoit quant à lui que Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives , avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

A. Sur le prononcé d’amendes administratives et leur montant

139. Les sociétés font valoir que le montant des amendes proposées par la rapporteure est imprévisible, disproportionné et injustifié. Elles contestent le fait que, contrairement à d’autres autorités administratives françaises ou européennes disposant d’un pouvoir de sanction, la CNIL n’a pas fourni de lignes directrices pour le calcul de ses amendes. Les sociétés ajoutent par ailleurs que la rapporteure n’explique pas la répartition du montant de l’amende entre [X] et [Y].

140. En outre, les sociétés soutiennent qu’en refusant d’engager des discussions avec elles, la rapporteure les a privées de la possibilité de coopérer avec la CNIL, et, partant, de se prévaloir de la circonstance atténuante de l’article 83-2 f) du RGPD pour réduire le montant de l’amende.

141. La formation restreinte rappelle, à titre général, que l’article 20, paragraphe III, de la loi Informatique et Libertés lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être, en l’espèce, équivalant à 2 % du chiffre d'affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement. Elle ajoute que la détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD.

142. La formation restreinte relève que le rapporteur n’est pas tenu de préciser la manière dont les amendes qu’elle propose à la formation restreinte sont calculées. Le Conseil d’État a d’ailleurs jugé que la formation restreinte n’était pas soumise à cette obligation (CE, 10e/9e, 19 juin 2020, req. n° 430810). La formation restreinte relève que les juridictions européennes partagent cette position, puisqu’elles ont déjà jugé qu’ il n’incomb[e] pas à la Commission au titre de l’obligation de motivation, d’indiquer dans sa décision les éléments chiffrés relatifs au mode de calcul des amendes (arrêt de la Cour du 16 novembre 2000, Stora Kopparbergs Bergslags/Commission, C‑286/98 P, Rec. p. I‑9925, point 66). La jurisprudence exige uniquement que la formation de sanction fasse apparaître de façon claire et détaillée le raisonnement qu’elle a suivi, permettant ainsi à la requérante de connaître les éléments d’appréciation pris en compte pour mesurer la gravité de l’infraction aux fins du calcul du montant de l’amende et au Tribunal d’exercer son contrôle (arrêt du Tribunal de première instance, troisième chambre, 8 juillet 2008, BPB plc contre Commission des Communautés européennes, arrêt ECLI:EU:T:2008:254, paragraphe 337, recueil de la jurisprudence 008 II-01333). Cette position est justifiée, d’une part, par le fait que les amendes constituent un instrument de la politique d’une institution qui doit pouvoir disposer d’une marge d’appréciation dans la fixation de leur montant afin d’orienter le comportement des entreprises dans le sens du respect des règles et, d’autre part, parce qu’ il importe d’éviter que les amendes ne soient facilement prévisibles par les opérateurs économiques. En effet, si la Commission avait l’obligation d’indiquer dans sa décision les éléments chiffrés relatifs au mode de calcul du montant des amendes, il serait porté atteinte à l’effet dissuasif de celles-ci. Si le montant de l’amende était le résultat d’un calcul obéissant à une simple formule arithmétique, les entreprises auraient la possibilité de prévoir l’éventuelle sanction et de la comparer aux bénéfices qu’elles tireraient de l’infraction aux règles du droit .

143. En premier lieu, la formation restreinte souligne qu’il convient, en l’espèce, de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la nature, de la portée du traitement et du nombre de personnes concernées par ce dernier.

144. La formation restreinte relève que, si les sociétés [Y] et [X] ont refusé de communiquer la volumétrie du nombre de visiteurs uniques à partir des sites [V].fr et [W].com au cours des douze derniers mois depuis la France, il ressort des chiffres disponibles sur internet qu’en juin 2020, [V] comptait plus de […] millions de visiteurs uniques résidant en France par mois et [W] plus de […] millions (communiqué de presse […] publié sur le site web de […]). Le nombre de personnes concernées par les traitements en cause est ainsi extrêmement important à l’échelle de la population française.

145. Ainsi que la formation restreinte l’a rappelé dans sa délibération n° SAN-2020-012 du 7 décembre 2020, l’Autorité de la concurrence a relevé que, sur le marché français de la publicité en ligne liée aux recherches, [V] détient une position dominante qui présente, à bien des égards, des caractéristiques extraordinaires . Son moteur de recherche totalise aujourd'hui plus de 90 % des recherches effectuées en France et sa part de marché sur le marché de la publicité en ligne liée aux recherches est probablement supérieure à 90 % (ADLC,[…]). Le moteur de recherche [V] a donc une portée considérable en France.

146. En deuxième lieu, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa b) de l’article 83 paragraphe 2 du RGPD, relatif au fait que la violation a été commise délibérément.

147. La formation restreinte rappelle que les sociétés ont fait l’objet d’une sanction récente portant sur des manquements à l’article 82 de la loi Informatique et Libertés s’agissant de l’information et du recueil du consentement des personnes avant le dépôt des cookies sur leur terminal. Si cette sanction n’est pas définitive puisqu’elle fait l’objet d’un recours devant le Conseil d’État, la formation restreinte note toutefois que l’attention des sociétés avait été explicitement appelée par les services de la CNIL sur les modalités de refus des cookies. Dans le cadre du suivi de l’injonction prononcée par la formation restreinte, les sociétés ont, le 18 décembre 2020, par l’intermédiaire de leurs conseils, fait parvenir à la CNIL un document dans lequel elles présentaient les changements que [V] entendait déployer sur la page web [V].fr pour répondre à l’injonction prononcée. Le 17 février 2021, le secrétaire général de la CNIL a adressé aux sociétés [X] et [Y] une réponse constituant une aide pour les sociétés afin de se mettre en conformité. Ledit courrier allait au-delà du périmètre de l’injonction et évoquait également les modalités de refus des cookies . Le secrétaire général de la CNIL rappelait aux sociétés qu’il doit être aussi facile de donner son consentement que de refuser de le donner ou de le retirer et indiquait qu’il leur reviendrait d’insérer un bouton Je refuse à côté du bouton J’accepte , tout en précisant qu’elles pouvaient bien entendu changer les intitulés de ces boutons tant qu’ils permettent à l’utilisateur de comprendre clairement et directement les conséquences de ses choix . Il y était également précisé que : Si différentes manières de respecter les exigences légales sont possibles, il m’apparaît que la proposition figurant dans votre courrier, où ne figurent qu’un bouton J’accepte et un bouton Paramétrer , sur lequel il faut cliquer pour ensuite comprendre comment il est possible de refuser les cookies, n’est pas conforme aux exigences légales de liberté du consentement . Le secrétaire général de la CNIL avait donc indiqué aux sociétés, dès février 2021, les actions attendues dans la perspective d’une mise en conformité à l’issue de la période d’adaptation laissée par la CNIL aux acteurs et qui s’achevait le 1er avril 2021.

148. De surcroît, la formation restreinte rappelle le contexte plus général dans lequel les sociétés [X] et [Y] ont choisi de ne pas offrir à leurs utilisateurs, sur les sites [V].fr et [W].com , de faculté de refuser aisément les cookies. En effet, la CNIL a mis en œuvre un plan de mise en conformité sur la question des cookies étalé sur plusieurs années et a communiqué publiquement sur son site web, à plusieurs reprises, sur le fait qu’il doit être aussi facile pour l’internaute de refuser les cookies que de les accepter, en particulier le 1er octobre 2020 à l’occasion de la publication des lignes directrices et de la recommandation du 17 septembre 2020 précitées. La période d’adaptation laissée aux acteurs s’achevait au 1er avril 2021. Des centaines de milliers d’acteurs, des plus petits sites aux plus importants, se sont mis en conformité et ont introduit sur leur interface de recueil du consentement un bouton refuser ou continuer sans accepter .

149. Dans ce contexte, la formation restreinte considère que le fait que les sociétés [X] et [Y], figurant parmi les acteurs mondiaux majeurs et incontournables de l’internet et gérant certains des sites les plus visités, refusent de mettre en place un système de refus aisé des cookies au moment même où elles faisaient l’objet d’une procédure de suivi d’injonction les alertant clairement sur ce même sujet, révèle une volonté caractérisée de ces sociétés de ne pas modifier leurs pratiques. Elle considère que les sociétés ont entendu ne pas mettre en conformité le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation des sites [V].fr et [W].com , ni s’aider des recommandations de la CNIL pour ce faire.

150. En troisième lieu, la formation restreinte considère que les sociétés ne peuvent se prévaloir d’une coopération exemplaire avec la CNIL, alors qu’elles n’ont jamais communiqué la volumétrie du nombre de visiteurs uniques quotidiens pour les sites [V].fr et [W].com au cours des douze derniers mois depuis la France, éléments pourtant demandés par la délégation de contrôle de la CNIL. La formation restreinte relève qu’il ressort de l’article 18 de la loi Informatique et Libertés que les responsables de traitement ne peuvent s'opposer à l'action de la Commission et qu’ils doivent prendre toutes mesures utiles afin de faciliter sa tâche . La coopération avec l’autorité de contrôle constitue ainsi d’abord une obligation prévue par la loi. Ainsi, l’obligation de coopérer est loin d’être pleinement satisfaite en l’espèce, de sorte qu’il n’y a pas lieu à application d’une circonstance atténuante au titre de l’alinéa f) du paragraphe 2 de l’article 83 du RGPD.

151. En quatrième lieu, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2, du Règlement relatif aux avantages financiers obtenus du fait du manquement.

152. À cet égard, la formation restreinte relève que les opérations de lecture et écriture, permettant la collecte des données des utilisateurs à des fins de publicité ciblée via les sites [V].fr et [W].com , permettent aux sociétés de tirer un avantage financier considérable. Si elle admet que l’ensemble des revenus des sociétés ne sont pas directement liés aux cookies, la formation restreinte souligne que la publicité en ligne repose essentiellement sur le ciblage des internautes, auquel le cookie participe directement en permettant de singulariser et d’atteindre l’utilisateur identifié en vue de lui afficher du contenu publicitaire correspondant à ses centres d’intérêt et à son profil.

153. Elle rappelle que, comme elle l’a relevé dans sa délibération n° SAN-2020-012 du 7 décembre 2020 précitée, le groupe [V] réalise l’essentiel de ses bénéfices dans les deux principaux segments du marché de la publicité en ligne que constituent la publicité par affichage (Display Advertising) et la publicité contextuelle (Search Advertising), dans lesquels les cookies jouent un rôle indéniable, quoique différent.

154. Tout d’abord, dans le segment de la publicité par affichage, dont l’objet est d’afficher un contenu dans une zone spécifique d’un site web et dans lequel les cookies et traceurs sont utilisés pour identifier les utilisateurs au cours de leur navigation, aux fins de leur proposer les contenus les plus personnalisés, il est établi que le groupe [V] propose des produits à tous les échelons de la chaîne de valeur de ce segment et que ses produits sont systématiquement dominants sur ces différents échelons. À cet égard, le groupe [V] indique, sur l’un de ses sites web, qu’il propose pour la publicité un écosystème accessible depuis ses outils et services capable de toucher plus de 2 millions de sites, vidéos et applications et plus de 90% des utilisateurs de l’Internet dans le monde.

155. Ensuite, le segment de la publicité contextuelle, dont l’objet est d’afficher des résultats sponsorisés en fonction des mots clef tapés par les utilisateurs dans un moteur de recherche, nécessite également l’usage de cookies dans sa mise en œuvre pratique, par exemple pour pouvoir déterminer la localisation géographique des utilisateurs et, par-là, adapter les annonces proposées en fonction de cette localisation. À cet égard, il ressort du rapport annuel de la société [X’] pour l’année 2019 que ce segment constitue à lui seul, à travers notamment le service [V] Ads - anciennement […] -, 61% du chiffre d’affaires du groupe [V].

156. Si, dans le cadre de la procédure ayant donné lieu à la délibération précitée, la formation restreinte n’avait pas connaissance du montant du bénéfice tiré par le groupe [V] de la collecte et de l’exploitation de cookies sur le marché français via le revenu généré par la publicité ciblée sur des internautes français, elle a relevé qu’une approximation proportionnelle à partir des données chiffrées accessibles publiquement conduirait à estimer que la France contribuerait pour entre 680 et 755 millions de dollars au résultat net annuel d’[X’], la société-mère du groupe [V], soit, au taux de change actuel, entre 580 et 640 millions d’euros .

157. De surcroît, la formation restreinte souligne à nouveau qu’il ressort des études évoquées ci-avant que les sociétés qui ont mis en place un bouton tout refuser sur l’interface de recueil du consentement ont vu le taux de consentement relatif à l’acceptation des cookies diminuer. En effet, lorsqu’un bouton figurant au premier niveau leur permet de refuser les cookies, une part importante des internautes refuse complètement ou partiellement, les cookies et autres traceurs, ce qui a nécessairement un impact en termes de revenus liés à la publicité en ligne. Ces éléments viennent donc confirmer l’avantage financier indéniable tiré du manquement commis par les sociétés [X] et [Y] en ne mettant pas en place un mécanisme de refus du consentement aussi facile que celui d’accepter les cookies.

158. En dernier lieu, la formation restreinte rappelle qu’en application des dispositions de l’article 20 paragraphe III de la loi Informatique et Libertés , les sociétés [X] et [Y] encourent une sanction financière d’un montant maximum de 2% de leur chiffre d’affaires, lequel était respectivement de […] de dollars en 2020 s’agissant de [X] et de […] d’euros en 2019 s’agissant de [Y]

159. Dans sa délibération n° SAN-2020-012 du 7 décembre 2020, la formation restreinte a démontré la plus grande implication de la société [X] dans la détermination des finalités et des moyens des cookies mis en œuvre sur le site [V].fr par rapport à la société [Y]. En effet, c’est la société [X] qui conçoit et construit la technologie des produits [V]. De plus, [X] exerce une influence significative dans les organes décidant du déploiement des produits [V] en Europe et des traitements de données à caractère personnel des utilisateurs européens.

160. La formation restreinte souligne qu’en raison de l’utilisation massive du moteur de recherche [V] et de [W] en France, le nombre de personnes concernées par le manquement retenu est considérable. Elle relève en outre les bénéfices considérables tirés par les sociétés, à travers les revenus publicitaires indirectement générés par les données collectées par ces cookies.
161. Dès lors, au regard des responsabilités respectives des sociétés, de leurs capacités financières et des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de 90 millions euros à l’encontre de la société [X] et une amende de 60 millions euros à l’encontre de la société [Y] apparaissent justifiées.

B. Sur le prononcé d’une injonction

162. Les sociétés soutiennent que la demande d’injonction formulée par la rapporteure est inutile, considérant qu’il n’était pas nécessaire d’ouvrir une procédure de sanction.

163. Elles contestent par ailleurs le montant de l’astreinte journalière proposée en complément de l’injonction dès lors que la rapporteure n’apporte pas la démonstration de la nécessité de cette astreinte ni de la proportionnalité de son montant, qui est le montant maximal prévu par la loi Informatique et Libertés .

164. Elles contestent enfin le délai proposé par la rapporteure à l’issue duquel l’astreinte pourrait être liquidée, considérant que la modification du mécanisme de recueil du consentement nécessite un travail de programmation informatique complexe et conséquent. Elles indiquent que [Y] aurait besoin a minima de six mois pour se conformer aux termes de l’injonction.

165. En premier lieu, la formation restreinte relève qu’en l’état actuel du bandeau cookies sur les sites [V].fr et [W].com , les utilisateurs ne disposent toujours pas d’un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage. Elle estime dès lors nécessaire le prononcé d’une injonction afin que les sociétés se mettent en conformité avec les obligations applicables en la matière.

166. En deuxième lieu, la formation restreinte rappelle qu’aux fins de conserver à l’astreinte sa fonction comminatoire, son montant doit être à la fois proportionné à la gravité des manquements commis mais également adapté aux capacités financières du responsable de traitement. Elle relève, par ailleurs, que pour la détermination de ce montant, il doit également être tenu compte du fait que le manquement concerné par l’injonction participe indirectement aux bénéfices générés par le responsable de traitement.

167. En troisième lieu, s’agissant du délai qui serait nécessaire pour exécuter l’injonction, la formation restreinte prend note des arguments mis en avant par les sociétés tout en tenant compte des moyens techniques et humains dont elles disposent.

168. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une injonction assortie d’une astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de trois mois.

C. Sur la publicité

169. La formation restreinte considère que la publicité de la présente décision se justifie au regard du nombre de personnes concernées et de la gravité du manquement.

170. La formation restreinte relève que cette mesure permettra d’alerter les utilisateurs résidant en France des sites [V].fr et [W].com de la caractérisation du manquement à l’article 82 de la loi Informatique et Libertés et de les informer de la persistance du manquement au jour de la présente délibération et de l’injonction prononcée à l’encontre des sociétés pour y remédier.

171. Enfin, la mesure n’est pas disproportionnée dès lors que la décision n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.


PAR CES MOTIFS


La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer à l’encontre de la société [X] une amende administrative d’un montant de 90 000 000 euros (quatre-vingt-dix millions d’euros) pour manquement à l’article 82 de la loi Informatique et Libertés ,

• prononcer à l’encontre de la société [Y] une amende administrative d’un montant de 60 000 000 euros (soixante millions d’euros) pour manquement à l’article 82 de la loi Informatique et Libertés,

• prononcer à l’encontre des sociétés [X] et [Y] une injonction de modifier, sur les sites web [V].fr et [W].com , les modalités de recueil du consentement des utilisateurs situés en France aux opérations de lecture et/ou d’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ;

• assortir l’injonction d’une astreinte de 100 000 euros (cent mille euros) par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;

• adresser cette décision à la société [Z] en vue de son exécution ;

• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN


Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.


Retourner en haut de la page