Base de jurisprudence

Ariane Web: Conseil d'État 451423, lecture du 27 juin 2022, ECLI:FR:CECHR:2022:451423.20220627

Décision n° 451423
27 juin 2022
Conseil d'État

N° 451423
ECLI:FR:CECHR:2022:451423.20220627
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
Mme Christelle Thomas, rapporteur
Mme Esther de Moustier, rapporteur public
SARL MATUCHANSKY, POUPOT, VALDELIEVRE, avocats


Lecture du lundi 27 juin 2022
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Vu la procédure suivante :

Par une requête sommaire, un mémoire complémentaire et un mémoire en réplique, enregistrés les 6 avril et 6 juillet 2021 et le 30 mars 2022 au secrétariat du contentieux du Conseil d'Etat, la société Amazon Europe Core demande au Conseil d'Etat :

1°) d'annuler la délibération n° SAN-2020-013 du 7 décembre 2020 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés a prononcé à son encontre une sanction pécuniaire de 35 millions d'euros à raison des manquements constatés au titre de l'article 82 de la loi n° 78-17 du 6 janvier 1978, assortie d'une injonction de mettre en conformité son traitement de données dans un délai de trois mois à compter de la notification de sa délibération, sous astreinte de 100 000 euros par jour de retard, et de la publication de la sanction, qui n'identifiera plus nommément la société à l'expiration d'un délai de deux ans ;

2°) à titre subsidiaire, de réformer cette délibération en réduisant le montant de l'amende qui lui a été infligée ;

3°) le cas échéant, de saisir à titre préjudiciel la Cour de justice de l'Union européenne des questions suivantes :

1) Les dispositions de l'article 15 bis de la directive 2002/58/CE modifiée du 12 juillet 2002, combinées au considérant 173 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et aux dispositions de l'article 56 de ce règlement doivent-elles s'interpréter comme imposant l'application du mécanisme du guichet unique au contrôle de l'application des dispositions de l'article 5, paragraphe 3, de la directive 2002/58/CE en présence d'un traitement de données à caractère personnel transfrontalier ' ;

2) La directive 2002/58/CE comporte-t-elle une règle de conflit de loi implicite, ou un critère implicite, déterminant le champ d'application territoriale des lois nationales de transposition et, dans l'affirmative, quelle est cette règle ou quel est ce critère ' ;

3) En cas de réponse négative à la question 2), la jurisprudence par laquelle la Cour de justice a précisé, d'une part, la notion de traitements de données effectués dans le cadre des activités d'un établissement du responsable des traitements, au sens et pour l'application de l'article 4 de la directive 95/46/CE, d'autre part, l'articulation des pouvoirs d'intervention des autorités nationales de contrôle, en application de l'article 28 de cette même directive, s'applique-t-elle également à la mise en oeuvre des dispositions de droit national reprenant cette même notion pour déterminer le champ d'application territoriale des mesures de transposition de la directive 2002/58/CE et la compétence territoriale de l'autorité nationale concernée ' ;

4) En cas de réponse positive à la question 3), au sens de la directive 2002/58/CE, une autorité nationale compétente pour prononcer des sanctions en raison d'un traitement effectué dans le cadre des activités d'un établissement du responsable des traitements situé sur le territoire de l'Etat dont elle relève, peut-elle exercer les pouvoirs que lui confère cette directive seulement à l'égard de l'établissement situé sur ce territoire, ou également à l'égard du responsable des traitements établi dans un autre Etat membre ' ;

5) L'article 56 du traité sur le fonctionnement de l'Union européenne doit-il être interprété en ce sens qu'il prohibe, comme constituant une entrave injustifiée, l'application à une même opération de lecture et d'inscription dans le terminal des utilisateurs, au sens de l'article 5 (3) de la directive 2002/58/CE, d'ores et déjà soumise au respect de la loi transposant cette directive de l'État membre au sein duquel le prestataire de services est établi, de la loi transposant cette même directive de l'État membre dans lequel la prestation de services est fournie ' ;

6) L'article 49 du traité sur le fonctionnement de l'Union européenne doit-il être interprété en ce sens qu'il prohibe, comme constituant une entrave injustifiée, l'application à une même opération de lecture et d'inscription dans le terminal des utilisateurs, au sens de l'article 5 (3) de la directive 2002/58/CE, de la loi de l'État membre, transposant cette directive, dans lequel l'opérateur économique est établi à titre secondaire, lorsque ledit traitement de données est par ailleurs déjà soumis à la loi nationale transposant cette même directive émanant de l'État membre dans lequel il est établi à titre principal ' ;

7) L'article 50 de la Charte des droits fondamentaux de l'Union européenne doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité de contrôle d'un Etat membre poursuive une personne pour des faits, tirés de la prétendue violation de sa législation nationale transposant les dispositions de la directive 2002/58/CE, pour lesquels cette personne est déjà poursuivie devant une autorité de contrôle d'un autre Etat membre ' ;

8) Les dispositions de l'article 15 bis de la directive 2002/58/CE portent-elles atteinte au droit fondamental garanti par l'article 50 de la Charte des droits fondamentaux de l'Union européenne en ce qu'elles excluent l'application du mécanisme du guichet unique prévu par les articles 56 et suivants du règlement (UE) 2016/679 du 27 avril 2016, pour le contrôle du respect par les responsables des traitements des exigences de l'article 5, paragraphe 3 de la directive à l'occasion de traitements transfrontaliers ' " ;

4°) de mettre à la charge de l'Etat la somme de 10 000 euros au titre de l'article L. 761-1 du code justice administrative.


Vu les autres pièces du dossier ;

Vu :
- la Constitution ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur le fonctionnement de l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de justice administrative ;


Après avoir entendu en séance publique :

- le rapport de Mme Christelle Thomas, maître des requêtes,

- les conclusions de Mme A... de Moustier, rapporteure publique ;

La parole ayant été donnée, après les conclusions, à la SARL Matuchansky, Poupot, Valdelièvre, avocat de la société Amazon Europe Core ;


Considérant ce qui suit :

1. D'une part, en vertu du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés (CNIL) est notamment chargée de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de cette loi. Le premier alinéa de l'article 16 de la même loi prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ". En vertu de l'article 20 de la même loi, le président de la CNIL peut saisir la formation restreinte en vue du prononcé, après procédure contradictoire, d'une ou plusieurs mesures, au nombre desquelles figurent l'injonction de mettre en conformité le traitement avec les obligations résultant de la loi et du RGPD, qui peut être assortie d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard, une amende administrative et l'obligation de publier la décision.

2. D'autre part, aux termes de l'article 82 de la même loi, qui a procédé à la transposition du paragraphe 3 de l'article 5 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite directive " vie privée et communications électroniques ") : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ".

3. Sur le fondement des dispositions mentionnées au point 1, la formation restreinte de la CNIL a adopté le 7 décembre 2020 une délibération infligeant à la société Amazon Europe Core (AEC) une amende administrative d'un montant de 35 millions d'euros en raison de manquements à l'article 82 de la loi du 6 janvier 1978 en ce qui concerne les opérations de dépôt et de lecture des traceurs de connexion sur les terminaux des utilisateurs situés en France et se connectant au site " amazon.fr " que cette société exploite, lui a enjoint de mettre en conformité le traitement avec les obligations résultant de la loi, sous astreinte de 100 000 euros par jour de retard à l'issue d'un délai de trois mois à compter de la notification de sa délibération, et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans. La société Amazon Europe Core demande au Conseil d'Etat l'annulation de cette délibération.

Sur la compétence de la CNIL :

En ce qui concerne l'application du mécanisme du " guichet unique " de l'article 56 du règlement du 27 avril 2016 :

4. Selon le paragraphe 1 de l'article 55 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD) : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève ". Aux termes du paragraphe 1 de l'article 56 du même règlement, relatif au mécanisme du " guichet unique " : " Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60 ".

5. Toutefois, la directive 2002/58/CE régit spécialement les traitements de données à caractère personnel dans le secteur des communications électroniques, en précisant et complétant, pour ce secteur et pour ce qu'elle traite spécifiquement, la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et, désormais, le RGPD, dont l'article 94 abroge cette directive tout en précisant que les références à la directive abrogée s'entendent comme faites au RGPD. Selon l'article 15 bis de la directive 2002/58/CE, relatif aux sanctions applicables aux violations des objectifs de cette directive : " 1. Les États membres déterminent le régime des sanctions, y compris des sanctions pénales s'il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en oeuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l'infraction, même si celle-ci a été ultérieurement corrigée. (...). / 2. Sans préjudice de tout recours judiciaire qui pourrait être disponible, les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux aient le pouvoir d'ordonner la cessation des infractions visées au paragraphe 1. / 3. Les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux disposent des pouvoirs d'enquête et des ressources nécessaires, et notamment du pouvoir d'obtenir toute information pertinente dont ils pourraient avoir besoin, afin de surveiller et de contrôler le respect des dispositions nationales adoptées en application de la présente directive. / 4. Les autorités réglementaires nationales compétentes peuvent adopter des mesures afin d'assurer une coopération transfrontalière effective dans le contrôle de l'application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers ".

6. D'une part, il résulte des dispositions citées aux points 4 et 5, telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et dans son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que, si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme du " guichet unique " défini à l'article 56 de ce règlement, aux traitements transfrontaliers, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive. Il s'ensuit que, pour ce qui concerne le contrôle, au regard des dispositions ayant transposé les objectifs de la directive 2002/58/CE, des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, le mécanisme du " guichet unique " ne s'applique pas.

7. D'autre part, l'article 50 de la charte des droits fondamentaux de l'Union européenne prévoit que " nul ne peut être poursuivi ou puni pénalement en raison d'une infraction pour laquelle il a déjà été acquitté ou condamné dans l'Union par un jugement pénal définitif conformément à la loi ". Contrairement à ce qui est soutenu, l'absence de mise en oeuvre d'un mécanisme de guichet unique n'implique pas d'atteinte à cet article 50, lequel s'impose en tout état de cause aux autorités de contrôle nationales amenées à poursuivre et sanctionner les manquements aux législations nationales de transposition de la directive 2002/58/CE. En l'absence de tout doute raisonnable quant à l'application correcte des dispositions en cause du droit de l'Union européenne, il n'y a pas lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel d'une question portant sur l'interprétation des dispositions du droit de l'Union précédemment mentionnées.

8. La décision attaquée ayant pour objet de sanctionner des manquements aux seules obligations résultant de l'article 82 de la loi du 6 janvier 1978 transposant les exigences du paragraphe 3 de l'article 5 de la directive 2002/58/CE, et non une violation des dispositions du RGPD, la société requérante n'est ainsi fondée à soutenir ni que la formation restreinte de la CNIL aurait entaché cette décision d'inexactitude matérielle des faits en se méprenant sur le champ des opérations soumises à son contrôle, ni qu'elle aurait dû mettre en oeuvre le mécanisme du " guichet unique " prévu par le RGPD.

En ce qui concerne l'article 3 de la loi du 6 janvier 1978 :

Quant à la portée de cet article 3 :

9. Selon le I de l'article 3 de la loi du 6 janvier 1978, l'ensemble des dispositions de cette loi s'appliquent " aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ", sans préjudice, en ce qui concerne les traitements entrant dans le champ du RGPD, des critères prévus par les paragraphes 2 et 3 de l'article 3 de ce règlement.

10. Le paragraphe 1 de l'article 4 de la directive 95/46/CE disposait que : " Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : / a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre (...) ". Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu'au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué " dans le cadre des activités " d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un Etat membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la Cour de justice, Facebook Ireland Ltd e.a., mentionné au point 6, que le paragraphe 1 de l'article 3 du RGPD, qui prévoit que ce règlement s'applique au traitement des données à caractère personnel " effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union ", doit être interprété de la même façon.

11. En visant, au I de l'article 3 de la loi du 6 janvier 1978, l'ensemble des traitements des données à caractère personnel effectués " dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ", le législateur a repris les termes figurant tant au paragraphe 1 de l'article 4 de la directive 95/46/CE que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82 - et, en conséquence, le champ de compétence de la CNIL pour sanctionner les manquements à ces dispositions -, en référence à l'interprétation, rappelée au point précédent, que la Cour de justice de l'Union européenne a donnée de la directive 95/46/CE et, désormais, du RGPD.

Quant à la compatibilité de l'article 3 de la loi du 6 janvier 1978 ainsi interprété avec le droit de l'Union :

12. En premier lieu, l'article 1er de la directive 2002/58/CE prévoit que cette directive a notamment pour objet d'harmoniser les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques. Ce même article énonce que ses dispositions " précisent et complètent " le RGPD, lequel s'applique, ainsi qu'il a été dit au point 10, au traitement des données à caractère personnel " effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union ". L'article 3 de la même directive dispose que celle-ci s'applique " au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics " dans l'Union. En vertu de l'article 95 du RGPD, ce règlement n'impose pas d'obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l'Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE, ce que confirme le considérant 10 de cette directive selon lequel, dans le secteur des communications électroniques, le RGPD est applicable notamment à tous les aspects de la protection des droits et libertés fondamentaux qui n'entrent pas expressément dans le cadre de cette directive, y compris les obligations auxquelles est soumis le responsable du traitement des données à caractère personnel et les droits individuels. Enfin, selon l'article 15 bis de cette directive, cité au point 5, il appartient aux Etats membres de déterminer le régime des sanctions applicables aux violations des dispositions nationales prises en application de celle-ci et de prendre " toute mesure nécessaire pour assurer la mise en oeuvre de celles-ci ".

13. Il résulte clairement des dispositions rappelées au point 12 que, contrairement à ce qui est soutenu par la société requérante, la directive 2002/58/CE ne fait pas obstacle à ce que, de la même façon que les dispositions du RGPD qu'il complète, l'article 82 de la loi du 6 janvier 1978 s'applique aux opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs d'un service de communications électroniques en France lorsque le responsable de ce traitement y dispose d'un établissement et que ce traitement est effectué dans le cadre des activités de cet établissement, au sens précisé au point 10. Elle ne fait pas davantage obstacle, par conséquent, à ce que la CNIL, autorité nationale compétente en France, sanctionne ce responsable en cas de manquements aux dispositions de cet article 82 commis au préjudice de ces utilisateurs.

14. En second lieu, si le responsable d'un tel traitement disposant en France d'un établissement dans le cadre des activités duquel ce traitement est effectué est tenu de respecter les dispositions de l'article 82 de la loi du 6 janvier 1978 et s'expose, en cas de manquement, au prononcé par la CNIL des sanctions prévues par cette loi, une telle obligation, qui vise à garantir l'effectivité des dispositions de la directive 2002/58/CE et assurer une protection efficace des libertés et des droits fondamentaux des utilisateurs des terminaux concernés en France, et qui s'applique quel que soit le lieu de l'établissement principal de ce responsable, ne saurait en tout état de cause constituer une entrave à la libre prestation de services prohibée par l'article 56 du traité sur le fonctionnement de l'Union européenne, pas davantage qu'une entrave à la liberté d'établissement interdite par l'article 49 du même traité. Les dispositions de la directive 2002/58/CE, en ce qu'elles ne font pas obstacle à une telle législation, ne sont pas davantage de nature à constituer une telle entrave.

Quant à l'application en l'espèce de l'article 3 de la loi du 6 janvier 1978 :

15. Il résulte de l'instruction que, à la date de la décision attaquée, la société Amazon Online France, dont il n'est pas contesté qu'elle constitue un établissement de la société Amazon Europe Core en France, exerçait une activité de promotion et de commercialisation d'outils publicitaires contrôlés et exploités par la société Amazon Europe Core, fonctionnant notamment grâce aux données collectées par le biais des traceurs de connexion déposés sur les terminaux des utilisateurs du site " amazon.fr " en France. Il résulte de ce qui a été dit aux points 10 et 11 qu'en déduisant de ces éléments que le traitement de données mis en oeuvre par la société Amazon Europe Core était effectué dans le cadre des activités de son établissement Amazon Online France situé en France, au sens de l'article 3 de la loi du 6 janvier 1978, la formation restreinte de la CNIL, qui n'avait pas à justifier sa propre compétence dans les motifs de sa délibération et n'a donc pas, contrairement à ce qui est soutenu, insuffisamment motivé sa décision sur ce point, a fait une exacte application des dispositions de cet article 3.

16. Il résulte de tout ce qui précède que, sans qu'il y ait lieu, en l'absence de tout doute raisonnable sur l'interprétation de la directive 2002/58/CE et des articles 49 et 56 du traité sur le fonctionnement de l'Union européenne, ainsi que sur la validité de cette directive au regard de ces derniers articles, de saisir la Cour de justice de l'Union européenne à titre préjudiciel, la société Amazon Europe Core n'est pas fondée à soutenir que la formation restreinte de la CNIL aurait fait une inexacte interprétation ou une inexacte application des textes régissant sa compétence et aurait méconnu son champ de compétence en lui infligeant la sanction attaquée.

Sur la régularité de la procédure de sanction :

17. En premier lieu, il ressort de la décision de la présidente de la CNIL du 29 novembre 2019, chargeant le secrétaire général de la Commission de procéder ou de faire procéder à une mission de vérification, que celle-ci portait sur la conformité de l'ensemble des traitements accessibles à partir du domaine " amazon.fr " aux dispositions de la loi du 6 janvier 1978. Il résulte de l'instruction et, en particulier, de l'ensemble des procès-verbaux des contrôles effectués par la CNIL à la suite du lancement de cette mission de vérification et de la notification des griefs qui a été adressée à la société Amazon Europe Core, que ces contrôles ont notamment porté sur les conditions dans lesquelles des traceurs de connexion étaient déposés sur les terminaux d'utilisateurs du site " amazon.fr " au regard des obligations d'information et de recueil du consentement prévues par l'article 82 de la loi du 6 janvier 1978. Il s'ensuit que la société requérante ne peut sérieusement soutenir, d'une part, qu'elle n'a pas été suffisamment informée du champ des contrôles effectués et des faits ayant fondé la sanction et, d'autre part, que la mention du RGPD dans ces documents l'aurait induite en erreur, alors surtout que le consentement requis par l'article 82 de la loi du 6 janvier 1978 est défini par le RGPD, conformément aux dispositions du f) de l'article 2 de la directive 2002/58/CE.

18. En deuxième lieu, il résulte de l'instruction que si la société requérante n'a été informée que le 13 mai 2020 de ce qu'un rapporteur avait été désigné le 23 mars 2020 aux fins d'instruire les résultats des contrôles diligentés à son encontre, elle a disposé, après que le rapport du rapporteur lui a été adressé le 17 juillet 2020, d'un délai de deux mois pour présenter ses observations. Elle a produit des observations le 15 septembre 2020, puis a présenté de nouvelles observations le 2 novembre 2020 en réponse à celles du rapporteur, formulées le 9 octobre 2020. Dans ces conditions, et alors que l'obligation dans laquelle elle s'est trouvée de répondre à une demande d'information des services de la CNIL à une date à laquelle un rapporteur avait été désigné, sans qu'elle en soit encore informée, ne saurait caractériser une violation de son droit à ne pas s'auto-incriminer, la société requérante, qui a bénéficié au total d'un délai de six mois pour présenter sa défense, n'est pas fondée à soutenir que la procédure serait à ce titre irrégulière.

19. En troisième lieu, en vertu du g) du 2° du I de l'article 8 de la loi du 6 janvier 1978, la CNIL peut " par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ". Il résulte de l'article 39 du décret du 29 mai 2019 pris pour l'application de la loi du 6 janvier 1978 que, lorsqu'une sanction est susceptible d'être prononcée à l'encontre d'un responsable de traitement, le président de la CNIL désigne un rapporteur n'appartenant pas à la formation restreinte et que la CNIL peut, sur la demande de ce rapporteur, décider de procéder à des contrôles complémentaires, dans les conditions prévues au g) du 2° du I de l'article 8 de cette loi. En l'espèce, il résulte de l'instruction et ressort des mentions de la décision attaquée que le contrôle en ligne effectué par les services de la CNIL le 19 mai 2020 a été demandé par le rapporteur désigné par la présidence de la CNIL pour instruire l'affaire. Par suite, la société requérante n'est pas fondée à soutenir, alors même que le procès-verbal de ce contrôle ne mentionne pas qu'il a été demandé par le rapporteur, que la procédure aurait été conduite en méconnaissance de l'article 39 du décret du 29 mai 2019.

20. En quatrième lieu, si la société requérante soutient que la participation de la CNIL, en qualité d'autorité concernée, à la procédure diligentée par la Commission nationale pour la protection des données du Luxembourg (CNPD), qui est l'autorité de contrôle luxembourgeoise pour l'application du RGPD et des lois de ce pays en matière de protection des données à caractère personnel, en qualité d'autorité chef de file, serait constitutive d'une rupture de l'égalité des armes dès lors qu'elle aurait permis à la première de disposer d'informations privilégiées et confidentielles et de les utiliser pour asseoir la sanction qu'elle a prononcée, elle n'assortit cette affirmation d'aucune précision quant aux informations en cause, ni d'aucun élément de nature à établir qu'une telle participation serait contraire au cadre de la coopération transfrontalière mentionné au paragraphe 4 de l'article 15 bis de la directive 2002/58/CE.

21. Il résulte de ce qui précède que la société Amazon Europe Core n'est pas fondée à soutenir que la délibération attaquée aurait été prise au terme d'une procédure irrégulière et contraire à l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ni, en tout état de cause, que la CNIL aurait, pour l'ensemble de ces motifs, manqué à une obligation générale de loyauté.

Sur la méconnaissance alléguée de l'article 50 de la charte des droits fondamentaux de l'Union européenne :

22. Il résulte de l'instruction qu'une plainte a été déposée auprès de la CNIL le 28 mai 2018, mettant en cause le respect, par la société Amazon Europe Core, des dispositions du RGPD fixant les conditions de licéité des traitements de données à caractère personnel. Dans le cadre du mécanisme du " guichet unique " de l'article 56 de ce règlement, la CNIL a transmis cette plainte à la Commission nationale pour la protection des données du Luxembourg (CNPD). Parallèlement à la procédure de contrôle mise en oeuvre par la CNIL concernant le respect, par la société Amazon Europe Core, de l'article 82 de la loi du 6 janvier 1978 s'agissant des opérations d'accès et d'inscription d'informations sur les terminaux d'utilisateurs en France, la CNPD a mené une enquête sur la conformité de traitements de données à caractère personnel de la société Amazon Europe Core aux dispositions du RGPD, à celles de la loi luxembourgeoise en matière de protection des données à caractère personnel et à celles de la loi luxembourgeoise transposant le paragraphe 3 de l'article 5 de la directive 2002/58/CE et a notifié à cette société, le 25 juin 2020, des griefs relatifs à la " base de licéité " et à " l'utilisation des cookies " dans le cadre des activités de traitement de données réalisées par Amazon à des fins de publicité comportementale.

23. La requérante soutient qu'en engageant une procédure de contrôle et de sanction portant sur la mise en oeuvre de traitements de données à caractère personnel qui faisaient déjà l'objet de poursuites de la part de l'autorité luxembourgeoise de protection des données à raison des mêmes faits, la formation restreinte de la CNIL a méconnu le principe, tel que garanti par l'article 50 de la charte des droits fondamentaux de l'Union européenne, selon lequel une même personne ne peut faire l'objet de plusieurs poursuites à raison des mêmes faits.

24. Selon l'article 50 de la charte des droits fondamentaux de l'Union européenne, tel qu'interprété par la Cour de justice de l'Union européenne dans ses arrêts Aklagaren c/ Akerberg Fransson du 26 février 2013 (C-617/10), Powszechny Zaklad Ubezpieczen na Zycie SA du 3 avril 2019 (C-617/17) et bpost SA c/ Autorité belge de la concurrence du 22 mars 2022 (C-117/20), ce n'est que lorsqu'une procédure à caractère pénal, au sens de ces dispositions, est définitivement close, notamment lorsqu'une sanction pénale est devenue définitive, ce qui suppose qu'une décision a été rendue à la suite d'une appréciation portant sur le fond de l'affaire et n'est plus susceptible de recours, que ces dispositions s'opposent à ce que des poursuites de nature pénale pour la même infraction soient par la suite diligentées contre une même personne et, le cas échéant, qu'une sanction à caractère pénal soit prononcée.

25. Il ne résulte pas de l'instruction, et il n'est pas soutenu, que, à la date de la présente décision, la société Amazon Europe Core aurait fait l'objet d'une sanction devenue définitive prononcée par la CNPD à raison des faits qui ont justifié la sanction attaquée, relatifs aux utilisateurs du site " amazon.fr " en France, que des poursuites engagées par cette autorité pour ces faits auraient été définitivement abandonnées ou qu'une sanction à ce titre aurait été définitivement annulée. Par suite, et sans qu'il y ait lieu, en l'absence de doute raisonnable quant à la portée de l'article 50 de la charte des droits fondamentaux de l'Union européenne, de saisir la Cour de justice de l'Union européenne d'une question préjudicielle, la société requérante ne peut se prévaloir de la méconnaissance de ces dispositions.

Sur la caractérisation du manquement à l'article 82 de la loi du 6 janvier 1978 :

26. Pour caractériser le manquement de la société Amazon Europe Core aux dispositions de l'article 82 de la loi du 6 janvier 1978, la CNIL a constaté, d'une part, que, quel que soit le parcours de l'utilisateur - que celui-ci se rende directement sur le site " amazon.fr " ou qu'il se rende sur une page " produit " du site via une annonce -, plus de quarante " cookies " poursuivant une finalité publicitaire étaient déposés sur le terminal de l'utilisateur préalablement à toute action de sa part et que, d'autre part, l'information délivrée par la société s'agissant des opérations d'accès ou d'inscription des " cookies " était soit incomplète, soit inexistante.

27. Si la société requérante soutient que le cadre juridique applicable aux traceurs de connexion n'était pas clair et stabilisé au moment de l'engagement des poursuites à l'encontre de la société, en raison de l'incertitude juridique qui entourait les conditions et les modalités de recueil du consentement et de divergences importantes d'interprétation entre les différentes autorités nationales compétentes, dans le contexte d'un traitement transfrontalier, il résulte de l'instruction qu'après l'entrée en application, le 25 mai 2018, du RGPD, la CNIL a, par une délibération en date du 4 juillet 2019, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et a abrogé sa recommandation antérieure du 5 décembre 2013. Afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, la CNIL a, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux " cookies " et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière. Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des " cookies ", celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. En outre, la circonstance que d'autres autorités de contrôle nationales auraient pris des positions divergentes pour interpréter les conditions et modalités applicables au recueil du consentement de l'utilisateur est sans incidence sur l'application par la CNIL des dispositions de la loi du 6 janvier 1978. Il suit de là que le moyen tiré de la méconnaissance du principe de légalité des délits et des peines ne peut qu'être écarté.

Sur la proportionnalité de la sanction prononcée :

28. D'une part, aux termes du III de l'article 20 de la loi du 6 janvier 1978 : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : / 1° Un rappel à l'ordre ; / 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 ? par jour de retard à compter de la date fixée par la formation restreinte ; / (...) 7° A l'exception des cas où le traitement est mis en oeuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. / Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement ".

29. D'autre part, en vertu de l'article 83 du règlement général sur la protection des données du 27 avril 2016, auquel renvoie désormais, compte tenu de l'article 94 du règlement, le paragraphe 2 de l'article 15 de la directive 2002/58/CE, les amendes administratives imposées par les autorités de contrôle des Etats membres doivent, dans chaque cas, être " effectives, proportionnées et dissuasives ". Pour fixer le montant de l'amende, doivent, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; (...) / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; g) les catégories de données à caractère personnel concernées par la violation; (...) / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".

30. Il résulte de l'instruction que, pour fixer le montant de la sanction infligée à la société Amazon Europe Core, la formation restreinte de la CNIL a tenu compte de la gravité du manquement constaté, en raison du dépôt automatique de " cookies " publicitaires dès l'arrivée de l'utilisateur sur le site internet et en l'absence de toute information des intéressés lorsque cette arrivée se fait à partir d'un site tiers, de l'ampleur des traitements réalisés par la société grâce au dépôt de ces traceurs et de la nature potentiellement sensible des données collectées par ce biais, de l'avantage financier important tiré par la société de l'utilisation de ces données par la personnalisation des annonces, ainsi que du chiffre d'affaires annuel mondial de la société Amazon Europe Core sur lequel la CNIL s'est fondé, estimé à 7,7 milliards d'euros.

31. Eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs situés en France, aux avantages financiers que la société a pu tirer de la collecte des données résultant de l'exploitation des traceurs de connexion illégalement déposés sur les terminaux de ces utilisateurs, aux plafonds prévus par le 4 de l'article 83 du RGPD et à la situation financière de la société, la formation restreinte de la CNIL, qui a suffisamment motivé sa décision et n'avait pas à se prononcer sur l'ensemble des critères prévus à l'article 83 du RGPD, n'a pas, en retenant une amende de 35 millions d'euros, infligé à la société Amazon Europe Core une sanction d'un montant disproportionné.

32. Il résulte de tout ce qui précède que la société requérante n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque. Les conclusions qu'elles présente au titre de l'article L. 761-1 du code de justice administrative ne peuvent, en conséquence, qu'être rejetées.


D E C I D E :
--------------
Article 1er : La requête de la société Amazon Europe Core est rejetée.
Article 2 : La présente décision sera notifiée à la société Amazon Europe Core et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 10 juin 2022 où siégeaient : M. Jacques-Henri Stahl, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, M. Frédéric Aladjidi, présidents de chambre ; Mme Nathalie Escaut, Mme Anne Egerszegi, M. Alain Seban, M. Thomas Andrieu, M. Alexandre Lallet, conseillers d'Etat et Mme Christelle Thomas, maître des requêtes-rapporteure.

Rendu le 27 juin 2022.

Le président :
Signé : M. Jacques-Henri Stahl

La rapporteure :
Signé : Mme Christelle Thomas

La secrétaire :
Signé : Mme Claudine Ramalahanoharana



Voir aussi