CONTACT

Google de nouveau condamnée par la CNIL à des amendes record

13 janvier 2022 | Derriennic Associés|

La CNIL a condamné Google à deux amendes record (90 millions d’euros pour GOOGLE LLC et 60 millions d’euros pour GOOGLE IRELAND LIMITED), en raison d’un processus de recueil du consentement à l’utilisation des cookies non conforme au cadre règlementaire applicable.

Pour rappel, à la suite d’un contrôle diligenté en 2020, la CNIL avait condamné GOOGLE LLC et GOOGLE IRELAND LIMITED à deux amendes d’un montant cumulé de 100 millions d’euros pour dépôt de cookies sans recueil préalable du consentement, défaut d’information quant à l’utilisation des cookies et défaillance partielle du mécanisme d’opposition aux cookies (décision ayant fait l’objet d’un article sur notre site).

Suite à ce contrôle et à cette sanction, la CNIL avait considéré, par une délibération du 30 avril 2021, que GOOGLE LLC et GOOGLE IRELAND avaient satisfait à l’injonction de mettre en conformité le site « google.fr » aux règles applicables en matière de cookies.

Parallèlement, au mois de mars, avril, juin et juillet 2021, la CNIL a été saisie de plusieurs plaintes dénonçant les modalités de refus des cookies sur les sites « google.fr » et « youtube.com », ce qui a entrainé un contrôle en ligne sur ces deux sites.

Ce contrôle a révélé que le bandeau affiché sur ces deux sites contenait bien un bouton permettant d’accepter immédiatement les cookies, mais qu’« aucun moyen analogue » n’était proposé à l’utilisateur pour pouvoir refuser, aussi facilement, le dépôt de ces cookies. Cinq actions étaient en effet nécessaires à l’utilisateur pour pouvoir refuser les cookies. La CNIL y a vu une méconnaissance des « exigences légale de liberté du consentement ».

En défense, GOOGLE LLC et GOOGLE IRELAND LIMITED ont soutenu que la CNIL ne pouvait se prononcer une nouvelle fois sur les mêmes faits que ceux concernés par la délibération de 2020, sans violer le principe « non bis in idem ». La CNIL a indiqué que les faits étaient différents, la procédure d’espèce portant sur les modalités de refus des cookies, et non sur l’information liée aux cookies.

Les deux sociétés ont également estimé que la CNIL n’était pas compétente, en vertu du mécanisme de « guichet unique » prévu par le RGPD. La CNIL a répondu que ce mécanisme n’avait pas vocation à s’appliquer en l’espèce, dans la mesure où les cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi « Informatique et Libertés » du 6 janvier 1978, et non du RGPD. La CNIL, afin de justifier sa compétence territoriale, a estimé que le recours aux cookies avait lieu dans le « cadre des activités » de GOOGLE FRANCE, qui constitue « l’établissement » sur le territoire français de GOOGLE LLC et GOOGLE IRELAND LIMITED.

Au vu des manquements relevés, la CNIL a prononcé une amende de 90 millions d’euros à l’encontre de GOOGLE LLC et de 60 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED, considérées comme des responsables conjoints du traitement, dès lors qu’elles déterminaient toutes les deux les finalités et les moyens dudit traitement.

La CNIL a également enjoint à ces deux sociétés d’offrir un moyen de refuser les cookies « présentant une simplicité équivalente au mécanisme prévu pour leur acceptation », sous astreinte de 100 000 euros par jour de retard à l’issue d’un délai de 3 mois, et a ordonné la publication de cette décision.

Lien vers la décision