Base de jurisprudence


Décision n° 449212
4 mars 2021
Conseil d'État

N° 449212
ECLI:FR:CEORD:2021:449212.20210304
Inédit au recueil Lebon
Juge des référés
SCP SPINOSI, avocats


Lecture du jeudi 4 mars 2021
REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS



Vu la procédure suivante :

Par une requête, enregistrée le 29 janvier 2021 au secrétariat du contentieux du Conseil d'Etat, la société Google LLC et la société Google Ireland Limited demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative, d'ordonner la suspension de l'exécution de la délibération de la formation restreinte de la Commission nationale de l'informatique et des libertés du 7 décembre 2020 les concernant en tant qu'elle a prononcé à leur encontre " une injonction de mettre en conformité le traitement avec les obligations résultant de l'article 82 de la loi " informatique et libertés ", en particulier : informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d'information présent sur la page d'accueil du site " google.fr " : - des finalités de tous les cookies soumis au consentement, - des moyens dont elles disposent pour les refuser " et qu'elle a assorti cette injonction d'une astreinte de 100 000 euros par jour de retard " à l'issue d'un délai de trois mois suivant la notification de la présent délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ".


Les sociétés soutiennent que :
- la condition d'urgence est satisfaite compte tenu du délai très réduit pour exécuter l'injonction, de l'impossibilité de respecter l'injonction compte tenu de l'incapacité de la mettre en oeuvre dans un délai aussi court et de son caractère imprécis et du montant très élevé de l'astreinte qui atteint le maximum légal soit 100 000 euros par jour de retard ;
- il existe un doute sérieux quant à la légalité de la décision litigieuse ;
- la Commission nationale de l'informatique et des libertés n'était pas compétente pour édicter cette injonction alors que le mécanisme du guichet unique prévu par le chapitre VI du règlement général de la protection des données aurait dû être mis en oeuvre ;
- la décision est entachée d'erreur de droit et d'erreur de qualification juridique des faits en ce que la Commission nationale de l'informatique et des libertés a considéré que sa compétence territoriale sur le fondement de l'article 3, paragraphe 1 de la loi informatique et libertés exclurait nécessairement l'application du guichet unique du règlement général de la protection des données alors que les traitements litigieux présentent un caractère transfrontalier, qu'ils entrent dans le champ d'application du règlement général de protection des données et que la société Google Ireland Limited est l'établissement principal de Google en Europe.

Par un mémoire en défense, enregistré le 8 février 2021, la Commission nationale de l'informatique et des libertés conclut au rejet de la requête. Elle soutient que la condition d'urgence n'est pas satisfaite et qu'aucun des moyens invoqués n'est de nature à faire naître un doute sérieux quant à la légalité de la décision.

Vu le mémoire, enregistré le 17 février 2021, présenté par la Commission nationale de l'informatique et des libertés ;

Vu le mémoire, enregistré le 23 février 2021, présenté par les sociétés Google LLC et Google Ireland Limited ;


Vu les autres pièces du dossier ;

Vu :
- la directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- l'arrêt de la Cour de justice de l'Union européenne C-673/17 Bundesverband der Verbraucherzentralen un Verbraucherverbände - Verbraucherzentrale Bundesverband eV contrePlanet49 GmbH du 1er octobre 2019 ;
- le code de justice administrative ;


Après avoir convoqué à une audience publique, d'une part, les sociétés Google LLC et Google Ireland Limited, et d'autre part, la Commission nationale de l'informatique et des libertés ;

Ont été entendus lors de l'audience publique du 11 février 2021, à 14 heures 30 :

- Me Spinosi, avocat au Conseil d'Etat et à la Cour de cassation, avocat des sociétés Google LLC et Google Ireland Limited ;

- les représentants des sociétés Google LLC et Google Ireland Limited ;

- les représentants de la Commission nationale de l'informatique et des libertés ;

à l'issue de laquelle le juge des référés a reporté la clôture de l'instruction au 23 février à 12 heures.


Considérant ce qui suit :

1. Aux termes du premier alinéa de l'article L. 521-1 du code de justice administrative : " Quand une décision administrative, même de rejet, fait l'objet d'une requête en annulation ou en réformation, le juge des référés, saisi d'une demande en ce sens, peut ordonner la suspension de l'exécution de cette décision, ou de certains de ses effets, lorsque l'urgence le justifie et qu'il est fait état d'un moyen propre à créer, en l'état de l'instruction, un doute sérieux quant à la légalité de la décision".

2. Les sociétés Google LLC et Google Ireland Limited demandent au juge des référés du Conseil d'Etat, statuant sur le fondement de l'article L. 521-1 du code de justice administrative, d'ordonner la suspension de l'exécution de la délibération de la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) du 7 décembre 2020 les concernant en tant qu'elle a prononcé à leur encontre une injonction de mettre en conformité le traitement de données à caractère personnel consistant en des opérations d'accès ou d'inscription d'informations dans les terminaux des utilisateurs résidant en France lors de l'utilisation du moteur de recherche Google Search avec les obligations résultants de l'article 82 de la loi " informatique et libertés " et en particulier d'informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d'information présent sur la page d'accueil du site " google.fr " des finalités de tous les cookies soumis au consentement et des moyens dont elle dispose pour les refuser.

3. Conformément au I de l'article 8 de la loi du 6 janvier 1978, la CNIL est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD). Elle est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations. En vertu du 2° du I de cet article 8, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagement internationaux de la France. Elle peut, à ce titre, établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables. Le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit en outre que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ". L'article 20 de cette loi confie à son président la possibilité de saisir la formation restreinte en vue du prononcé d'une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte.

4. Aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ". Ces dispositions assurent la transposition en droit national de l'article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Elles doivent dès lors être interprétées à la lumière des dispositions de cet article aux termes desquelles : " Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur ". En vertu de l'article 15 bis de cette même directive : " 1. Les États membres déterminent le régime des sanctions, y compris des sanctions pénales s'il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en oeuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l'infraction, même si celle-ci a été ultérieurement corrigée. Les États membres notifient ces dispositions à la Commission, au plus tard le 25 mai 2011, et toute modification ultérieure les concernant dans les meilleurs délais. / 2. Sans préjudice de tout recours judiciaire qui pourrait être disponible, les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux aient le pouvoir d'ordonner la cessation des infractions visées au paragraphe 1. / 3. Les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux disposent des pouvoirs d'enquête et des ressources nécessaires, et notamment du pouvoir d'obtenir toute information pertinente dont ils pourraient avoir besoin, afin de surveiller et de contrôler le respect des dispositions nationales adoptées en application de la présente directive. / 4. Les autorités réglementaires nationales compétentes peuvent adopter des mesures afin d'assurer une coopération transfrontalière effective dans le contrôle de l'application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers ". En vertu de l'article 94 du règlement du 27 avril 2016, " les références faites à la directive abrogée s'entendent comme faites au présent règlement ".

5. Il résulte de l'économie générale de la loi du 6 janvier 1978 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement du 27 avril 2016. Elle dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en oeuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant au prononcé d'une injonction de mettre en conformité un traitement qui ne respecte pas les obligations applicables aux " cookies " et autres traceurs de connexion découlant de l'article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002.

6. Comme il a été indiqué à l'audience, les sociétés requérantes ne contestent pas que l'injonction litigieuse concerne le respect des obligations applicables aux " cookies " découlant de l'article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002. Mais elles soutiennent que la CNIL serait incompétente pour prononcer une telle injonction, cette compétence appartenant à l'autorité de contrôle de l'établissement principal du traitement en application du mécanisme dit du guichet unique prévu par l'article 56 du règlement du 27 avril 2016 aux termes duquel : " Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant ; conformément à la procédure prévue à l'article 60 ". En application de ces dispositions, elles estiment que l'autorité de contrôle compétente devrait être l'autorité irlandaise, la société Google Ireland Limited étant l'établissement principal de Google en Europe

7. Il résulte des dispositions citées au point 4 telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019, que les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur. Ces dispositions ne prévoient pas, en revanche, l'application du mécanisme dit du guichet unique prévu à l'article 56 de ce règlement aux mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 qui relèvent de la compétence des Etats membres en application des dispositions de l'article 15 bis de cette directive. L'existence de ces dispositions spécifiques fait obstacle à ce que les dispositions du règlement du 27 avril 2016 sur le mécanisme du guichet unique puissent s'appliquer. Par suite, les moyens tirés de ce que la CNIL ne serait pas compétente pour édicter l'injonction litigieuse et de ce qu'elle aurait commis une erreur de droit et une erreur de qualification juridique des faits en considérant que sa compétence exclurait l'application du mécanisme du guichet unique ne paraissent pas, en l'état de l'instruction, propre à créer un doute sérieux sur la légalité de la décision attaquée.

8. Il résulte de ce qui précède, sans qu'il besoin de se prononcer sur la condition d'urgence, que la requête ne peut qu'être rejetée, y compris les conclusions présentées en application de l'article L. 761-1 du code de justice administrative.


O R D O N N E :
------------------

Article 1er : La requête des sociétés Google LLC et Google Ireland Limited est rejetée.
Article 2 : La présente ordonnance sera notifiée aux sociétés Google LLC et Google Ireland Limited et à la Commission nationale de l'informatique et des libertés.