Le Conseil d’Etat a validé la sanction de 100 millions d’euros prononcée par la CNIL à l’encontre de Google

→ Rappel des manquements

La CNIL avait fait état en mars 2020 de trois violations de l’article 82 de la loi Informatique et Libertés par Google. En effet, dès l’arrivée sur le site google.fr, plusieurs cookies non essentiels à finalité publicitaire étaient déposés sur les ordinateurs des utilisateurs, sans recueil de consentement préalable. Il était également reproché à la firme de ne fournir aucune information relative à ce dépôt :  seul un simple bandeau affichant la mention « Rappel concernant les règles de confidentialité de Google » accompagné de deux boutons « Me le rappeler plus tard » et « Consulter maintenant » figurait sur le site et ne renseignait donc ni préalablement, ni de manière claire l’utilisateur concernant le dépôt de cookies, leurs objectifs mais également la possibilité de les refuser et les moyens mis en place pour le faire. Pour finir, la Commission avait souligné que lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google avec l’aide du bouton « Consulter maintenant », un cookie publicitaire demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il était rattaché. Par conséquent, le mécanisme d’opposition de Google était partiellement défaillant.

C’est donc au regard de ce triple manquement, du nombre extrêmement élevé d’utilisateurs lésés par cette pratique publicitaire ainsi que des bénéfices que la firme en avait tiré que la CNIL avait prononcé le 7 décembre 2020 une sanction de 60 millions d’euros pour Google LLC et de 40 millions pour Google Ireland Limited. Cette décision s’accompagnait d’une injonction de mise en conformité dans délai de trois mois à compter de la notification, sous peine d’une astreinte de 100 000 euros par jour de retard.

Le Conseil d’Etat rejette la demande de suspension d’exécution de Google et confirme la décision de la CNIL 

Suite à cette délibération, Google avait alors saisi le Conseil d’État pour en demander la suspension d’exécution. La firme, en plus de juger le délai de mise en œuvre de l’injonction trop court et le montant de l’astreinte trop élevé, estimait également qu’il n’appartenait pas à la CNIL de se prononcer sur l’affaire. L’établissement principal de Google en Europe étant la société Google Ireland Limited, pour elle, seule l’autorité irlandaise de protection des données (la Data Protection Commission) était compétente territorialement pour trancher le litige en vertu du mécanisme de guichet unique prévu par le RGPD.

Le Conseil d’Etat a rejeté la requête par une décision le 4 mars 2021, validant ainsi l’injonction faite à Google de se conformer à la législation sur les cookies. Le juge administratif a en effet rappelé que la Commission « dispose, pour l’accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu’elle juge les plus appropriées » et que le droit européen ne prévoit pas l’application du mécanisme de guichet unique dans ce cas.

→ A noter : Au 1er Avril,  Google, Amazon et Facebook n’ont pas mis à jour leurs CMP, conformément aux lignes directrices de la CNIL.