Cookies : sanctions financières de 60 millions d’euros contre la société GOOGLE LLC et de 40 millions d’euros contre la société GOOGLE IRELAND LIMITED
Le 7 décembre 2020, le comité restreint de la CNIL, chargé d’appliquer les sanctions, a condamné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED à une amende totale de 100 millions d’euros pour avoir placé des cookies publicitaires sur les ordinateurs des utilisateurs du moteur de recherche google.fr, sans avoir obtenu le consentement préalable et sans avoir fourni les informations adéquates.
Le 16 mars 2020, la CNIL a mené une enquête en ligne sur le site google.fr et a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement placés sur son ordinateur, sans qu’aucune action ne soit requise de sa part. Plusieurs de ces cookies ont été utilisés à des fins publicitaires.
Violations de la loi française sur la protection des données
Le comité restreint de la CNIL, chargé de prononcer les sanctions, a constaté trois infractions à l’article 82 de la loi française sur la protection des données :
Dépôt de cookies sans obtenir le consentement préalable de l’utilisateur
Lorsqu’un utilisateur visite le site web google.fr, plusieurs cookies utilisés à des fins publicitaires sont automatiquement placés sur son ordinateur, sans qu’aucune action ne soit requise de sa part.
Ce type de cookies ne pouvant être placés qu’après que l’utilisateur ait exprimé son consentement, le comité restreint a considéré que les sociétés n’avaient pas respecté l’exigence prévue à l’article 82 de la loi française sur la protection des données concernant la collecte d’un consentement préalable avant de placer des cookies non indispensables au service.
Absence d’information des utilisateurs du moteur de recherche google.fr
Lorsqu’un utilisateur a visité la page google.fr, une bannière d’information s’est affichée en bas de page, avec la mention suivante “Rappel de confidentialité de Google”, devant laquelle se trouvaient deux boutons : “Rappelle-moi plus tard” et “Accéder maintenant”.
Cette bannière ne fournissait à l’utilisateur aucune information concernant les cookies qui avaient pourtant déjà été placés sur son ordinateur lors de son arrivée sur le site. Ces informations n’étaient pas non plus fournies lorsqu’il cliquait sur le bouton “Accéder maintenant”.
Par conséquent, le comité restreint a considéré que les informations fournies par les sociétés ne permettaient pas aux utilisateurs résidant en France d’être informés préalablement et clairement du dépôt de cookies sur leur ordinateur ni, par conséquent, d’être informés des finalités de ces cookies et des moyens disponibles permettant de les refuser.
Gestionnaire de consentement des cookies | Faites un essai gratuit de 2 semaines
Faites un essai gratuit de 2 semaines pour nos forfaits payants ou créez un compte gratuit…
Echec partiel du mécanisme de l’opposition
Lorsqu’un utilisateur désactivait la personnalisation de l’annonce sur la recherche Google en utilisant le mécanisme disponible à partir du bouton “Accéder maintenant”, l’un des cookies publicitaires était toujours stocké sur son ordinateur et continuait à lire les informations destinées au serveur auquel il est rattaché.
Par conséquent, le comité restreint a estimé que le mécanisme d'”opposition” mis en place par les sociétés était partiellement défectueux, en violation de l’article 82 de la loi française sur la protection des données.
La sanction imposée par le comité restreint
Le comité restreint a imposé une sanction financière de 60 millions d’euros à GOOGLE LLC et une autre de 40 millions d’euros à GOOGLE IRELAND LIMITED et a décidé de les rendre publiques.
Le comité restreint a justifié ces montants au regard de la gravité de la violation de l’article 82 de la loi française sur la protection des données, qui a été constatée sur trois aspects.
Elle a également souligné l’étendue du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont touché près de cinquante millions d’utilisateurs.
Enfin, elle a relevé les profits importants des entreprises qui découlent des revenus publicitaires indirectement générés par les données collectées par les cookies publicitaires.
Le comité restreint a dûment noté que les entreprises ont cessé de placer automatiquement des cookies publicitaires lorsqu’un utilisateur arrive sur la page google.fr, depuis une mise à jour intervenue en septembre 2020.
Toutefois, il a constaté que la nouvelle bannière d’information mise en place par les sociétés lorsqu’un utilisateur arrive sur la page google.fr ne permet toujours pas aux utilisateurs résidant en France de comprendre les fins auxquelles les cookies sont utilisés et ne leur fait pas savoir qu’ils peuvent refuser ces cookies.
En conséquence, outre les sanctions financières, le comité restreint a également ordonné aux sociétés d’informer de manière adéquate les personnes physiques, conformément à l’article 82 de la loi française sur la protection des données, dans les trois mois suivant la notification de la décision. Dans le cas contraire, les sociétés doivent payer une astreinte de 100 000 euros par jour de retard.
Vous êtes une agence, un webdesigner ou tout autre revendeur ?
Gagnez 30% de commission, jetez un coup d’œil à notre modèle revendeur ou contactez-nous pour un nombre de clients supérieur à 500.
La compétence de la CNIL
Dans sa décision, le comité restreint a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies placés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Ainsi, il a souligné que le mécanisme de coopération prévu par la GDPR (mécanisme de “guichet unique”) n’avait pas vocation à s’appliquer dans cette procédure, les opérations liées à l’utilisation des cookies relevant de la directive “vie privée et communications électroniques”, transposée à l’article 82 de la loi française sur la protection des données.
Le comité restreint a estimé qu’il est également territorialement compétent, conformément à l’article 3 de la loi française sur la protection des données, car l’utilisation des cookies est effectuée dans le “cadre des activités” de la société GOOGLE FRANCE, qui est “l’établissement” des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sur le territoire français et qui assure la promotion de leurs produits et services.
Elle a également considéré que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables puisqu’elles déterminent toutes deux les buts et moyens liés à l’utilisation des cookies.
Le lien entre la sanction et les travaux de la CNIL sur les cookies
Dans le cadre de son plan d’action sur la publicité ciblée et afin de prendre en compte l’entrée en vigueur de la GDPR, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives et une recommandation concernant l’utilisation des cookies et autres dispositifs de suivi. La CNIL a demandé aux acteurs de se conformer aux règles, ainsi clarifiées, considérant que la période d’adaptation ne devrait pas dépasser six mois.
A cette occasion, la CNIL a toutefois ajouté qu’elle continuera à contrôler pleinement le respect des autres obligations non modifiées et, le cas échéant, à adopter des mesures correctives pour protéger la vie privée des internautes.
La CNIL sanctionne aujourd’hui la violation, par les entreprises, d’obligations qui existaient avant la GDPR et qui n’étaient donc pas concernées par les nouvelles orientations et la recommandation du 1er octobre 2020.
NB : La société GOOGLE LLC, établie en Californie, développe le moteur de recherche Google Search. La société GOOGLE IRELAND LIMITED, dont le siège social est situé en Irlande, se présente comme le siège européen du groupe Google. La société GOOGLE FRANCE est l’établissement de GOOGLE LLC en France.
