Conseil d'État
N° 449209
ECLI:FR:CECHR:2022:449209.20220128
Publié au recueil Lebon
10ème - 9ème chambres réunies
Mme Christelle Thomas, rapporteur
M. Laurent Domingo, rapporteur public
SCP SPINOSI, avocats
Lecture du vendredi 28 janvier 2022
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire, un mémoire en réplique et un nouveau mémoire, enregistrés les 29 janvier, 28 avril et 29 octobre 2021 et 10 janvier 2022 au secrétariat du contentieux du Conseil d'Etat, les sociétés Google LLC et Google Ireland Limited demandent au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2020-012 du 7 décembre 2020 de la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) prononçant à leur encontre des amendes administratives d'un montant respectif de 60 et 40 millions d'euros ;
2°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne des questions suivantes :
" 1) Les articles 1er §2 et 15 bis §4 de la directive 2002/58/CE du 12 juillet 2002 et l'article 56 §1 du règlement (UE) 2016/679 du 27 avril 2016 doivent-ils être interprétés en ce sens que, dans le cadre d'un traitement transfrontalier relevant du champ d'application matériel de la directive 2002/58/CE et du règlement (UE) 2016/679, le mécanisme de " guichet unique " prévu par l'article 56 § 1 de ce règlement est exclu pour ce traitement transfrontalier '
" 2) L'article 15 bis de la directive 2002/58/CE du 12 juillet 2002 viole-t-il le droit à la protection des données personnelles consacré par l'article 16 § 1 du traité sur le fonctionnement de l'Union européenne et l'article 8 §1 de la charte des droits fondamentaux de l'Union européenne ainsi que la liberté d'entreprise protégée par l'article 16 de la même charte, en ce qu'il se borne à prévoir une faculté - et non une obligation - pour les autorités réglementaires nationales compétentes d'adopter des mesures afin d'assurer une coopération transfrontalière effective dans le contrôle de l'application des législations nationales adoptées en application de la directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers ' ".
Vu les autres pièces du dossier ;
Vu :
- la Constitution ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur le fonctionnement de l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes,
- les conclusions de M. Laurent Domingo, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP Spinosi, avocat de de la société Google LLC et la société Google Ireland Limited ;
Vu la note en délibéré, enregistrée le 12 janvier 2022, présentée par la Commission nationale de l'informatique et des libertés ;
Considérant ce qui suit :
1. Les sociétés Google LLC et Google Ireland Limited demandent l'annulation de la délibération du 7 décembre 2020 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à leur encontre une amende administrative d'un montant, respectivement, de 60 millions d'euros pour la société Google LLC et de 40 millions d'euros pour la société Google Ireland Limited, pour manquement à l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, leur a enjoint de mettre en conformité le traitement avec les obligations en résultant, sous astreinte de 100 000 euros par jour de retard à l'issue d'un délai de trois mois suivant la notification de sa délibération, et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. En particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ". En vertu de l'article 20 de la même loi, le président de la CNIL peut saisir la formation restreinte en vue du prononcé, après procédure contradictoire, d'une ou plusieurs mesures, au nombre desquelles figurent notamment l'injonction de mettre en conformité le traitement avec les obligations résultant de la loi et du RGPD, qui peut être assortie d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard, et une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % de son chiffre d'affaires annuel mondial total.
4. La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) régit spécialement les traitements de données à caractère personnel dans le secteur des communications électroniques, en précisant et complétant, pour ce secteur et pour ce qu'elle traite spécifiquement, la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, désormais remplacée par le RGPD, dont l'article 94 abroge cette directive tout en précisant que les références à la directive abrogée s'entendent comme faites au RGPD.
5. En vertu du paragraphe 3 de l'article 5 de la directive 2002/58/CE : " Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. "
6. Aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui a procédé à la transposition du paragraphe 3 de l'article 5 de la directive 2002/58/CE : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ".
7. Il résulte de l'instruction qu'en application d'une décision du 15 mars 2020 de la présidente de la CNIL, les services de cette autorité ont procédé, le 16 mars, à un contrôle en ligne destiné à vérifier le respect, sur le site internet " google.fr ", des dispositions de la loi du 6 janvier 1978 et, en particulier, de son article 82. Par la décision attaquée du 7 décembre 2020, la formation restreinte de la CNIL a prononcé à l'encontre des sociétés Google LLC et Google Ireland Limited une injonction sous astreinte de mettre le traitement en conformité avec les obligations résultant de l'article 82 de la loi du 6 janvier 1978 ainsi qu'une amende administrative à l'égard de chacune de ces sociétés pour manquement aux obligations de cet article 82.
8. La formation restreinte de la CNIL tenait des dispositions de l'article 16 de la loi du 6 janvier 1978, citées au point 3, compétence pour prendre ces mesures à raison de manquements aux obligations résultant de l'article 82 de cette loi, transposant les objectifs du paragraphe 3 de l'article 5 de la directive 2002/58/CE.
9. Les sociétés requérantes font valoir, en invoquant les dispositions de l'article 56 du règlement général sur la protection des données du 27 avril 2016 (RGPD), que l'autorité compétente pour agir en l'espèce n'est pas la CNIL mais, s'agissant d'un traitement transfrontalier, l'autorité nationale de contrôle de l'établissement du responsable du traitement, c'est-à-dire en l'espèce l'autorité irlandaise, qui serait compétente pour agir en tant qu'autorité de contrôle chef de file pour un tel traitement transfrontalier.
10. Selon le paragraphe 1 de l'article 55 du règlement du 27 avril 2016 (RGPD) : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève ". Aux termes du paragraphe 1 de l'article 56 du même règlement : " Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60 ".
11. Toutefois, selon l'article 15 bis de la directive 2002/58/CE, relatif aux sanctions applicables aux violations des objectifs de cette directive : " 1. Les États membres déterminent le régime des sanctions, y compris des sanctions pénales s'il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en oeuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l'infraction, même si celle-ci a été ultérieurement corrigée. (...). / 2. Sans préjudice de tout recours judiciaire qui pourrait être disponible, les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux aient le pouvoir d'ordonner la cessation des infractions visées au paragraphe 1. / 3. Les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux disposent des pouvoirs d'enquête et des ressources nécessaires, et notamment du pouvoir d'obtenir toute information pertinente dont ils pourraient avoir besoin, afin de surveiller et de contrôler le respect des dispositions nationales adoptées en application de la présente directive. / 4. Les autorités réglementaires nationales compétentes peuvent adopter des mesures afin d'assurer une coopération transfrontalière effective dans le contrôle de l'application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers ".
12. Il résulte des dispositions citées aux points 10 et 11, telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et dans son dans arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive. Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978. Par suite, alors qu'en l'espèce la décision attaquée a entendu assurer le respect des seules obligations résultant de l'article 82 de la loi du 6 janvier 1978 transposant les exigences du paragraphe 3 de l'article 5 de la directive 2002/58/CE, les sociétés requérantes ne sont pas fondées à soutenir que la formation restreinte de la CNIL n'aurait pas été compétente, qu'elle aurait fait une inexacte application des dispositions litigieuses et commis une erreur d'appréciation en considérant que sa compétence excluait l'application du mécanisme dit du " guichet unique ".
13. En l'absence de tout doute raisonnable quant à l'application correcte des dispositions en cause du droit de l'Union européenne, il n'y a pas lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel d'une question portant sur l'interprétation des dispositions du droit de l'Union en cause dans la présente affaire. En outre, la faculté prévue par l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, permettant aux autorités nationales d'engager une coopération transfrontalière pour ce qui concerne le contrôle de l'application des dispositions procédant de cette directive, n'est pas de nature à priver ces autorités des moyens d'assurer la protection des données à caractère personnel. Elle ne peut, par ailleurs, être regardée comme entravant la liberté d'entreprise. Il s'ensuit que, en l'absence de difficulté sérieuse, la contestation par les sociétés requérantes de la validité de l'article 15 bis de la directive 2002/58/CE, au regard du droit à la protection des données personnelles et de la liberté d'entreprise, ne peut qu'être écartée, sans qu'il y ait lieu de renvoyer cette question d'appréciation de validité à la Cour de justice.
14. Il résulte de tout ce qui précède que les moyens mettant en cause la compétence de la formation restreinte de la CNIL pour prendre la décision attaquée doivent être écartés.
Sur la régularité de la procédure de sanction :
15. Si les sociétés requérantes soutiennent que la formation restreinte de la CNIL aurait méconnu les droits de la défense et les exigences de la contradiction, en l'absence de mise en demeure préalable et de prise en compte de la coopération qu'elles ont apportée au cours de la procédure, il résulte de l'instruction qu'à la suite du contrôle en ligne effectué le 16 mars 2020 par les services de la CNIL sur le site internet " google.fr " et du procès-verbal dressé dans ce cadre et adressé aux sociétés requérantes, celles-ci ont produit une réponse le 30 avril 2020, avant leur audition dans les locaux de la CNIL le 22 juillet 2020, audition à l'issue de laquelle elles ont adressé des éléments complémentaires le 29 juillet 2020. Après la notification aux requérantes du rapport du rapporteur le 12 août 2020, des observations écrites ont été produites par les deux sociétés le 25 septembre 2020. De nouvelles observations ont été produites par elles le 26 octobre 2020 en réponse aux observations du rapporteur en date du 9 octobre. Les sociétés requérantes ont formulé des observations orales lors de la séance de la formation restreinte et encore produit des observations écrites après cette séance, le 2 décembre 2020. Dans ces conditions, et alors que le prononcé d'une sanction n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable de traitement ou de son sous-traitant par le président de la CNIL, le moyen ne peut qu'être écarté.
Sur les manquements aux obligations en matière de cookies :
16. Il résulte de l'instruction que, dans le cadre du contrôle en ligne effectué le 16 mars 2020 sur le site internet " google.fr ", il a été constaté que, lorsqu'un utilisateur se rendait sur la page " google.fr ", sept cookies étaient automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site. Lors de l'arrivée sur la page " google.fr ", un bandeau d'information s'affichait en pied de page, contenant la mention " Rappel concernant les règles de confidentialité de Google ", en face de laquelle figuraient deux boutons intitulés " Me le rappeler plus tard " et " Consulter maintenant ". En cliquant sur le bouton " Consulter maintenant ", l'utilisateur n'était pas informé des règles de confidentialité applicables aux cookies, ni de la possibilité de refuser qu'ils soient implantés sur son terminal. Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l'un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton " autres options ".
17. Postérieurement à l'engagement de la procédure de sanction, les sociétés requérantes ont mis à jour leur système, à compter du 17 août 2020, de telle sorte que, depuis le 10 septembre 2020, l'utilisateur arrivant sur la page " google.fr " voit désormais d'afficher, au milieu de son écran avant de pouvoir accéder au moteur de recherche, une fenêtre surgissante intitulée " Avant de continuer ", qui contient une information préalable sur l'utilisation de cookies par Google et comporte deux boutons intitulés " Plus d'informations " et " J'accepte ". Toutefois, les indications ainsi fournies n'informent pas directement et explicitement l'utilisateur sur les finalités des cookies et les moyens de s'y opposer.
18. Par ailleurs, il résulte également de l'instruction que, sur les sept cookies automatiquement déposés sur le terminal de l'utilisateur lors du contrôle du 16 mars 2020, quatre poursuivaient une finalité publicitaire et n'avaient ainsi pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ni n'étaient strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. A la suite de la mise à jour effectuée à compter du 17 août 2020, postérieurement à l'engagement de la procédure de sanction, il n'est plus procédé au dépôt automatique de cookies publicitaires dès l'arrivée de l'utilisateur sur la page " google.fr ". Malgré la désactivation de la personnalisation des annonces par l'utilisateur, au moins un cookie ne relevant pas de la catégorie des cookies dits " d'opposition " demeurait stocké sur le terminal de l'utilisateur. La société Google Ireland Limited, qui a elle-même reconnu au cours de la procédure de sanction que ce cookie avait une finalité publicitaire, n'a pas apporté d'éléments probants établissant qu'il aurait eu en pratique pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou aurait été nécessaire à la fourniture du service à la demande de l'utilisateur.
19. Il résulte des dispositions de l'article 82 de la loi du 6 janvier 1978 citées au point 6 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer. C'est à bon droit que, par une décision suffisamment motivée sur ce point et non entachée d'erreur d'appréciation, la formation restreinte de la CNIL a retenu que les faits exposés aux points précédents caractérisaient une absence d'information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d'opposition aux cookies, tels que prévus par l'article 82 de la loi du 6 janvier 1978.
20. Si les sociétés requérantes invoquent le principe de légalité des délits et des peines et les principes de sécurité juridique et de confiance légitime, en soutenant que le cadre juridique applicable aux cookies n'aurait pas été consolidé à la date de la décision attaquée, il résulte de l'instruction qu'après l'entrée en application, le 25 mai 2018, du règlement du 27 avril 2016 (RGPD), la CNIL a, par une délibération en date du 4 juillet 2019, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et a abrogé sa recommandation antérieure du 5 décembre 2013. Afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, la CNIL a, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière. Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL à l'encontre des deux sociétés ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, ni, en tout état de cause, les principes de sécurité juridique et de confiance légitime, engager une procédure de contrôle et de sanction quant au respect, par les sociétés requérantes, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.
Sur le caractère proportionné de la sanction et des mesures correctrices prononcées :
21. D'une part, aux termes du III de l'article 20 de la loi du 6 janvier 1978 : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : / 1° Un rappel à l'ordre ; / 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 ? par jour de retard à compter de la date fixée par la formation restreinte ; / (...) 7° A l'exception des cas où le traitement est mis en oeuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. / Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement ".
22. D'autre part, en vertu de l'article 83 du règlement général sur la protection des données du 27 avril 2016, auquel renvoie désormais, compte tenu de l'article 94 du règlement, le paragraphe 2 de l'article 15 de la directive 2002/58/CE, les amendes administratives imposées par les autorités de contrôle des Etats membres doivent, dans chaque cas, être " effectives, proportionnées et dissuasives ". Pour fixer le montant de l'amende, doivent, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; (...) / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; (...) / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; (...) / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
23. En premier lieu, il résulte de l'instruction que, pour fixer le montant de la sanction infligée aux requérantes, la formation restreinte de la CNIL a tenu compte de la part de marché supérieure à 90 % représentée par le moteur de recherche de Google, avec une estimation de 47 millions d'utilisateurs en France, ainsi que des bénéfices particulièrement importants produits par le segment de la publicité ciblée en ligne permise par les données collectées par le recours aux cookies. Elle a estimé que les mises à jour auxquelles il a été procédé à la suite de l'engagement de la procédure de sanction ne pouvaient être regardées comme une véritable coopération avec l'autorité de contrôle en l'absence persistante, en particulier, de communication à cette dernière des revenus publicitaires des sociétés Google en France. Elle n'a pas retenu un montant de sanction excédant le plafond fixé par l'article 20 de la loi du 6 janvier 1978. Compte tenu de la gravité des manquements constatés et de l'ensemble des circonstances de l'espèce, la formation restreinte de la CNIL n'a pas infligé une sanction d'un montant disproportionné aux sociétés Google LLC et Google Ireland Limited, les montants respectifs de 60 000 000 euros et 40 000 000 euros retenus pour chacune de ces sociétés n'étant pas disproportionnés au regard des capacités financières respectives de ces deux sociétés.
24. En deuxième lieu, si la formation restreinte de la CNIL a assorti l'injonction qu'elle prononçait à l'égard des sociétés requérantes d'une astreinte de 100 000 euros par jour de retard, ce montant ne dépasse pas la limite fixée par l'article 20 de la loi du 6 janvier 1978 et ne peut, dans les circonstances de l'espèce et eu égard à la finalité d'une astreinte, être regardé comme excessif. Au demeurant, cette astreinte a été levée par une nouvelle délibération de la formation restreinte le 30 avril 2021, pour tenir compte des évolutions proposées par les sociétés requérantes pour se conformer au dispositif de la délibération attaquée.
25. En troisième lieu, en décidant, compte tenu de la gravité du manquement en cause et du grand nombre d'utilisateurs concernés, de rendre publique sa délibération et de procéder à son anonymisation à l'issue d'un délai de deux ans, la formation restreinte de la CNIL n'a pas entaché sa délibération d'une erreur d'appréciation.
26. Il s'ensuit que les sociétés requérantes ne sont pas fondées à soutenir que la délibération litigieuse, qui est suffisamment motivée, serait entachée d'illégalité en raison du caractère disproportionné des mesures qu'elle a prononcées.
27. Il résulte de tout ce qui précède, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel, que les sociétés requérantes ne sont pas fondées à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elles attaquent.
D E C I D E :
--------------
Article 1er : La requête des sociétés Google LLC et Google Ireland Limited est rejetée.
Article 2 : La présente décision sera notifiée aux sociétés Google LLC et Google Ireland Limited et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 12 janvier 2022 où siégeaient : M. Jacques-Henri Stahl, président adjoint de la section du contentieux présidant ; M. G... F..., M. Frédéric Aladjidi, présidents de chambre ; Mme J... C..., Mme A... K..., M. I... B..., M. D... E..., M. Arno Klarsfeld, conseillers d'Etat et Mme Christelle Thomas, maître des requêtes-rapporteure.
Rendu le 28 janvier 2022.
Le président :
Signé : M. Jacques-Henri Stahl
La rapporteure :
Signé : Mme Christelle Thomas
La secrétaire :
Signé : Mme H... L...
N° 449209
ECLI:FR:CECHR:2022:449209.20220128
Publié au recueil Lebon
10ème - 9ème chambres réunies
Mme Christelle Thomas, rapporteur
M. Laurent Domingo, rapporteur public
SCP SPINOSI, avocats
Lecture du vendredi 28 janvier 2022
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire, un mémoire en réplique et un nouveau mémoire, enregistrés les 29 janvier, 28 avril et 29 octobre 2021 et 10 janvier 2022 au secrétariat du contentieux du Conseil d'Etat, les sociétés Google LLC et Google Ireland Limited demandent au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2020-012 du 7 décembre 2020 de la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) prononçant à leur encontre des amendes administratives d'un montant respectif de 60 et 40 millions d'euros ;
2°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne des questions suivantes :
" 1) Les articles 1er §2 et 15 bis §4 de la directive 2002/58/CE du 12 juillet 2002 et l'article 56 §1 du règlement (UE) 2016/679 du 27 avril 2016 doivent-ils être interprétés en ce sens que, dans le cadre d'un traitement transfrontalier relevant du champ d'application matériel de la directive 2002/58/CE et du règlement (UE) 2016/679, le mécanisme de " guichet unique " prévu par l'article 56 § 1 de ce règlement est exclu pour ce traitement transfrontalier '
" 2) L'article 15 bis de la directive 2002/58/CE du 12 juillet 2002 viole-t-il le droit à la protection des données personnelles consacré par l'article 16 § 1 du traité sur le fonctionnement de l'Union européenne et l'article 8 §1 de la charte des droits fondamentaux de l'Union européenne ainsi que la liberté d'entreprise protégée par l'article 16 de la même charte, en ce qu'il se borne à prévoir une faculté - et non une obligation - pour les autorités réglementaires nationales compétentes d'adopter des mesures afin d'assurer une coopération transfrontalière effective dans le contrôle de l'application des législations nationales adoptées en application de la directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers ' ".
Vu les autres pièces du dossier ;
Vu :
- la Constitution ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur le fonctionnement de l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes,
- les conclusions de M. Laurent Domingo, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP Spinosi, avocat de de la société Google LLC et la société Google Ireland Limited ;
Vu la note en délibéré, enregistrée le 12 janvier 2022, présentée par la Commission nationale de l'informatique et des libertés ;
Considérant ce qui suit :
1. Les sociétés Google LLC et Google Ireland Limited demandent l'annulation de la délibération du 7 décembre 2020 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à leur encontre une amende administrative d'un montant, respectivement, de 60 millions d'euros pour la société Google LLC et de 40 millions d'euros pour la société Google Ireland Limited, pour manquement à l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, leur a enjoint de mettre en conformité le traitement avec les obligations en résultant, sous astreinte de 100 000 euros par jour de retard à l'issue d'un délai de trois mois suivant la notification de sa délibération, et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. En particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ". En vertu de l'article 20 de la même loi, le président de la CNIL peut saisir la formation restreinte en vue du prononcé, après procédure contradictoire, d'une ou plusieurs mesures, au nombre desquelles figurent notamment l'injonction de mettre en conformité le traitement avec les obligations résultant de la loi et du RGPD, qui peut être assortie d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard, et une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % de son chiffre d'affaires annuel mondial total.
4. La directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) régit spécialement les traitements de données à caractère personnel dans le secteur des communications électroniques, en précisant et complétant, pour ce secteur et pour ce qu'elle traite spécifiquement, la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, désormais remplacée par le RGPD, dont l'article 94 abroge cette directive tout en précisant que les références à la directive abrogée s'entendent comme faites au RGPD.
5. En vertu du paragraphe 3 de l'article 5 de la directive 2002/58/CE : " Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. "
6. Aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui a procédé à la transposition du paragraphe 3 de l'article 5 de la directive 2002/58/CE : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ".
7. Il résulte de l'instruction qu'en application d'une décision du 15 mars 2020 de la présidente de la CNIL, les services de cette autorité ont procédé, le 16 mars, à un contrôle en ligne destiné à vérifier le respect, sur le site internet " google.fr ", des dispositions de la loi du 6 janvier 1978 et, en particulier, de son article 82. Par la décision attaquée du 7 décembre 2020, la formation restreinte de la CNIL a prononcé à l'encontre des sociétés Google LLC et Google Ireland Limited une injonction sous astreinte de mettre le traitement en conformité avec les obligations résultant de l'article 82 de la loi du 6 janvier 1978 ainsi qu'une amende administrative à l'égard de chacune de ces sociétés pour manquement aux obligations de cet article 82.
8. La formation restreinte de la CNIL tenait des dispositions de l'article 16 de la loi du 6 janvier 1978, citées au point 3, compétence pour prendre ces mesures à raison de manquements aux obligations résultant de l'article 82 de cette loi, transposant les objectifs du paragraphe 3 de l'article 5 de la directive 2002/58/CE.
9. Les sociétés requérantes font valoir, en invoquant les dispositions de l'article 56 du règlement général sur la protection des données du 27 avril 2016 (RGPD), que l'autorité compétente pour agir en l'espèce n'est pas la CNIL mais, s'agissant d'un traitement transfrontalier, l'autorité nationale de contrôle de l'établissement du responsable du traitement, c'est-à-dire en l'espèce l'autorité irlandaise, qui serait compétente pour agir en tant qu'autorité de contrôle chef de file pour un tel traitement transfrontalier.
10. Selon le paragraphe 1 de l'article 55 du règlement du 27 avril 2016 (RGPD) : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève ". Aux termes du paragraphe 1 de l'article 56 du même règlement : " Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60 ".
11. Toutefois, selon l'article 15 bis de la directive 2002/58/CE, relatif aux sanctions applicables aux violations des objectifs de cette directive : " 1. Les États membres déterminent le régime des sanctions, y compris des sanctions pénales s'il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en oeuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l'infraction, même si celle-ci a été ultérieurement corrigée. (...). / 2. Sans préjudice de tout recours judiciaire qui pourrait être disponible, les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux aient le pouvoir d'ordonner la cessation des infractions visées au paragraphe 1. / 3. Les États membres veillent à ce que l'autorité nationale compétente et, le cas échéant, d'autres organismes nationaux disposent des pouvoirs d'enquête et des ressources nécessaires, et notamment du pouvoir d'obtenir toute information pertinente dont ils pourraient avoir besoin, afin de surveiller et de contrôler le respect des dispositions nationales adoptées en application de la présente directive. / 4. Les autorités réglementaires nationales compétentes peuvent adopter des mesures afin d'assurer une coopération transfrontalière effective dans le contrôle de l'application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers ".
12. Il résulte des dispositions citées aux points 10 et 11, telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et dans son dans arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive. Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978. Par suite, alors qu'en l'espèce la décision attaquée a entendu assurer le respect des seules obligations résultant de l'article 82 de la loi du 6 janvier 1978 transposant les exigences du paragraphe 3 de l'article 5 de la directive 2002/58/CE, les sociétés requérantes ne sont pas fondées à soutenir que la formation restreinte de la CNIL n'aurait pas été compétente, qu'elle aurait fait une inexacte application des dispositions litigieuses et commis une erreur d'appréciation en considérant que sa compétence excluait l'application du mécanisme dit du " guichet unique ".
13. En l'absence de tout doute raisonnable quant à l'application correcte des dispositions en cause du droit de l'Union européenne, il n'y a pas lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel d'une question portant sur l'interprétation des dispositions du droit de l'Union en cause dans la présente affaire. En outre, la faculté prévue par l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, permettant aux autorités nationales d'engager une coopération transfrontalière pour ce qui concerne le contrôle de l'application des dispositions procédant de cette directive, n'est pas de nature à priver ces autorités des moyens d'assurer la protection des données à caractère personnel. Elle ne peut, par ailleurs, être regardée comme entravant la liberté d'entreprise. Il s'ensuit que, en l'absence de difficulté sérieuse, la contestation par les sociétés requérantes de la validité de l'article 15 bis de la directive 2002/58/CE, au regard du droit à la protection des données personnelles et de la liberté d'entreprise, ne peut qu'être écartée, sans qu'il y ait lieu de renvoyer cette question d'appréciation de validité à la Cour de justice.
14. Il résulte de tout ce qui précède que les moyens mettant en cause la compétence de la formation restreinte de la CNIL pour prendre la décision attaquée doivent être écartés.
Sur la régularité de la procédure de sanction :
15. Si les sociétés requérantes soutiennent que la formation restreinte de la CNIL aurait méconnu les droits de la défense et les exigences de la contradiction, en l'absence de mise en demeure préalable et de prise en compte de la coopération qu'elles ont apportée au cours de la procédure, il résulte de l'instruction qu'à la suite du contrôle en ligne effectué le 16 mars 2020 par les services de la CNIL sur le site internet " google.fr " et du procès-verbal dressé dans ce cadre et adressé aux sociétés requérantes, celles-ci ont produit une réponse le 30 avril 2020, avant leur audition dans les locaux de la CNIL le 22 juillet 2020, audition à l'issue de laquelle elles ont adressé des éléments complémentaires le 29 juillet 2020. Après la notification aux requérantes du rapport du rapporteur le 12 août 2020, des observations écrites ont été produites par les deux sociétés le 25 septembre 2020. De nouvelles observations ont été produites par elles le 26 octobre 2020 en réponse aux observations du rapporteur en date du 9 octobre. Les sociétés requérantes ont formulé des observations orales lors de la séance de la formation restreinte et encore produit des observations écrites après cette séance, le 2 décembre 2020. Dans ces conditions, et alors que le prononcé d'une sanction n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable de traitement ou de son sous-traitant par le président de la CNIL, le moyen ne peut qu'être écarté.
Sur les manquements aux obligations en matière de cookies :
16. Il résulte de l'instruction que, dans le cadre du contrôle en ligne effectué le 16 mars 2020 sur le site internet " google.fr ", il a été constaté que, lorsqu'un utilisateur se rendait sur la page " google.fr ", sept cookies étaient automatiquement déposés sur son terminal, sans action de sa part, dès son arrivée sur le site. Lors de l'arrivée sur la page " google.fr ", un bandeau d'information s'affichait en pied de page, contenant la mention " Rappel concernant les règles de confidentialité de Google ", en face de laquelle figuraient deux boutons intitulés " Me le rappeler plus tard " et " Consulter maintenant ". En cliquant sur le bouton " Consulter maintenant ", l'utilisateur n'était pas informé des règles de confidentialité applicables aux cookies, ni de la possibilité de refuser qu'ils soient implantés sur son terminal. Pour parvenir à cette information, il fallait faire défiler le contenu de toute la fenêtre, ne pas cliquer sur l'un des cinq liens hypertextes thématiques figurant dans le contenu, et cliquer sur le bouton " autres options ".
17. Postérieurement à l'engagement de la procédure de sanction, les sociétés requérantes ont mis à jour leur système, à compter du 17 août 2020, de telle sorte que, depuis le 10 septembre 2020, l'utilisateur arrivant sur la page " google.fr " voit désormais d'afficher, au milieu de son écran avant de pouvoir accéder au moteur de recherche, une fenêtre surgissante intitulée " Avant de continuer ", qui contient une information préalable sur l'utilisation de cookies par Google et comporte deux boutons intitulés " Plus d'informations " et " J'accepte ". Toutefois, les indications ainsi fournies n'informent pas directement et explicitement l'utilisateur sur les finalités des cookies et les moyens de s'y opposer.
18. Par ailleurs, il résulte également de l'instruction que, sur les sept cookies automatiquement déposés sur le terminal de l'utilisateur lors du contrôle du 16 mars 2020, quatre poursuivaient une finalité publicitaire et n'avaient ainsi pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ni n'étaient strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. A la suite de la mise à jour effectuée à compter du 17 août 2020, postérieurement à l'engagement de la procédure de sanction, il n'est plus procédé au dépôt automatique de cookies publicitaires dès l'arrivée de l'utilisateur sur la page " google.fr ". Malgré la désactivation de la personnalisation des annonces par l'utilisateur, au moins un cookie ne relevant pas de la catégorie des cookies dits " d'opposition " demeurait stocké sur le terminal de l'utilisateur. La société Google Ireland Limited, qui a elle-même reconnu au cours de la procédure de sanction que ce cookie avait une finalité publicitaire, n'a pas apporté d'éléments probants établissant qu'il aurait eu en pratique pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou aurait été nécessaire à la fourniture du service à la demande de l'utilisateur.
19. Il résulte des dispositions de l'article 82 de la loi du 6 janvier 1978 citées au point 6 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer. C'est à bon droit que, par une décision suffisamment motivée sur ce point et non entachée d'erreur d'appréciation, la formation restreinte de la CNIL a retenu que les faits exposés aux points précédents caractérisaient une absence d'information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d'opposition aux cookies, tels que prévus par l'article 82 de la loi du 6 janvier 1978.
20. Si les sociétés requérantes invoquent le principe de légalité des délits et des peines et les principes de sécurité juridique et de confiance légitime, en soutenant que le cadre juridique applicable aux cookies n'aurait pas été consolidé à la date de la décision attaquée, il résulte de l'instruction qu'après l'entrée en application, le 25 mai 2018, du règlement du 27 avril 2016 (RGPD), la CNIL a, par une délibération en date du 4 juillet 2019, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et a abrogé sa recommandation antérieure du 5 décembre 2013. Afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, la CNIL a, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière. Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL à l'encontre des deux sociétés ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, ni, en tout état de cause, les principes de sécurité juridique et de confiance légitime, engager une procédure de contrôle et de sanction quant au respect, par les sociétés requérantes, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.
Sur le caractère proportionné de la sanction et des mesures correctrices prononcées :
21. D'une part, aux termes du III de l'article 20 de la loi du 6 janvier 1978 : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : / 1° Un rappel à l'ordre ; / 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 ? par jour de retard à compter de la date fixée par la formation restreinte ; / (...) 7° A l'exception des cas où le traitement est mis en oeuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. / Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement ".
22. D'autre part, en vertu de l'article 83 du règlement général sur la protection des données du 27 avril 2016, auquel renvoie désormais, compte tenu de l'article 94 du règlement, le paragraphe 2 de l'article 15 de la directive 2002/58/CE, les amendes administratives imposées par les autorités de contrôle des Etats membres doivent, dans chaque cas, être " effectives, proportionnées et dissuasives ". Pour fixer le montant de l'amende, doivent, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; (...) / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; (...) / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; (...) / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
23. En premier lieu, il résulte de l'instruction que, pour fixer le montant de la sanction infligée aux requérantes, la formation restreinte de la CNIL a tenu compte de la part de marché supérieure à 90 % représentée par le moteur de recherche de Google, avec une estimation de 47 millions d'utilisateurs en France, ainsi que des bénéfices particulièrement importants produits par le segment de la publicité ciblée en ligne permise par les données collectées par le recours aux cookies. Elle a estimé que les mises à jour auxquelles il a été procédé à la suite de l'engagement de la procédure de sanction ne pouvaient être regardées comme une véritable coopération avec l'autorité de contrôle en l'absence persistante, en particulier, de communication à cette dernière des revenus publicitaires des sociétés Google en France. Elle n'a pas retenu un montant de sanction excédant le plafond fixé par l'article 20 de la loi du 6 janvier 1978. Compte tenu de la gravité des manquements constatés et de l'ensemble des circonstances de l'espèce, la formation restreinte de la CNIL n'a pas infligé une sanction d'un montant disproportionné aux sociétés Google LLC et Google Ireland Limited, les montants respectifs de 60 000 000 euros et 40 000 000 euros retenus pour chacune de ces sociétés n'étant pas disproportionnés au regard des capacités financières respectives de ces deux sociétés.
24. En deuxième lieu, si la formation restreinte de la CNIL a assorti l'injonction qu'elle prononçait à l'égard des sociétés requérantes d'une astreinte de 100 000 euros par jour de retard, ce montant ne dépasse pas la limite fixée par l'article 20 de la loi du 6 janvier 1978 et ne peut, dans les circonstances de l'espèce et eu égard à la finalité d'une astreinte, être regardé comme excessif. Au demeurant, cette astreinte a été levée par une nouvelle délibération de la formation restreinte le 30 avril 2021, pour tenir compte des évolutions proposées par les sociétés requérantes pour se conformer au dispositif de la délibération attaquée.
25. En troisième lieu, en décidant, compte tenu de la gravité du manquement en cause et du grand nombre d'utilisateurs concernés, de rendre publique sa délibération et de procéder à son anonymisation à l'issue d'un délai de deux ans, la formation restreinte de la CNIL n'a pas entaché sa délibération d'une erreur d'appréciation.
26. Il s'ensuit que les sociétés requérantes ne sont pas fondées à soutenir que la délibération litigieuse, qui est suffisamment motivée, serait entachée d'illégalité en raison du caractère disproportionné des mesures qu'elle a prononcées.
27. Il résulte de tout ce qui précède, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel, que les sociétés requérantes ne sont pas fondées à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elles attaquent.
D E C I D E :
--------------
Article 1er : La requête des sociétés Google LLC et Google Ireland Limited est rejetée.
Article 2 : La présente décision sera notifiée aux sociétés Google LLC et Google Ireland Limited et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 12 janvier 2022 où siégeaient : M. Jacques-Henri Stahl, président adjoint de la section du contentieux présidant ; M. G... F..., M. Frédéric Aladjidi, présidents de chambre ; Mme J... C..., Mme A... K..., M. I... B..., M. D... E..., M. Arno Klarsfeld, conseillers d'Etat et Mme Christelle Thomas, maître des requêtes-rapporteure.
Rendu le 28 janvier 2022.
Le président :
Signé : M. Jacques-Henri Stahl
La rapporteure :
Signé : Mme Christelle Thomas
La secrétaire :
Signé : Mme H... L...