L’art culinaire est tout d’exécution et force est de constater que les grands chefs (CJUE ; CE ; CNIL) ont des recettes similaires en matière de cookies, mais avec quelques tour-de-mains et ingrédients un brin différents.  

Retraçons la recette, complexe, de ces cookies légaux, concoctée arrêt après arrêt par les juridictions, jusqu’à aboutir à une décision, rendue hier par le Conseil d’Etat. Une recette à 100 M€ ce qui, même pour le géant Google qui va devoir débourser cette somme, reste un peu indigeste. Car d’autres amendes toutes aussi lourdes — mais non encore jugées — ont été infligées par la CNIL. 

I. Ingrédients : l’exigence d’un consentement libre, spécifique, éclairé et univoque (et non plus tacite) en raison du RGPD

II. La recette originale, initiale, du Conseil d’Etat (avec le bien nommé arrêt « Croque futur » de 2018)

III. La recette de la CJUE en 2018

IV. Les nouvelles recettes françaises finalisant la transposition du droit européen (ordonnance 2018-1125 du 12 décembre 2018 ; décret 2019-536 du 29 mai 2019 ; délibération CNIL 2019-093 du 4 juillet 2019)

V. La CJUE rejette, en 2019, une astuce de gâte-sauce, consistant à recourir aux cases pré-cochées par défaut en termes de consentement

VI. Débats sur l’application immédiate, ou non, de la recette européenne 

VII. Le Conseil d’Etat corrige ensuite partiellement la recette de la CNIL 

VIII. Mettez à four très chaud (2020-2021)

IX. Servez avec de grosses amendes (2020-2021)

X. Puis confirmez aux clients que le cookie va leur coûter très cher (arrêt rendu hier)

I. Ingrédients : l’exigence d’un consentement libre, spécifique, éclairé et univoque (et non plus tacite) en raison du RGPD

Un cookie 🍪 (« témoin de connexion ») se reçoit et se consomme tel quel, sans entrer dans sa composition, sa cuisson, ses petits secrets de fabrication.

NB rappel : un cookie est un ensemble de données de petite taille qu’un site web stocke sur l’ordinateur ou le dispositif mobile du visiteur. Pour faire simple, il s’agit des données de connexion sauvegardées sur l’ordinateur par le site internet visité. De cette façon, le cookie constitue une donnée permettant de reconnaitre un visiteur lorsqu’il revient sur un site internet. 

OUI mais pour éviter les abus (cholestérol ?) qui peuvent en résulter, le RGPD (Règlement général sur la protection des données n° 2016/679/UE, 27 avril 2016) impose en ce domaine un consentement libre, spécifique, éclairé et univoque (RGPD, art. 4, 11 ; CEPD [anciennement G29], lignes directrices sur le consentement WP 259 révision 1).

Voir le très « fouillis » site :

• https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_fr

Bref en matière de cookies on passe d’un consentement tacite à un consentement exprès, clair, univoque. 

Voir les règles initiales de la CNIL avec la :

• Délibération 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 (NOR: CNIX1331669X)

Puis vint la :

• délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif) (NOR: CNIL1920776Z)

II. La recette originale, initiale, du Conseil d’Etat (avec le bien nommé arrêt « Croque futur » de 2018)

Reprise pour ce II d’une partie d’un billet de Benjamin Carrey, alors avocat de notre cabinet, en date du 27 juillet 2018 :

• Le paramétrage du navigateur n’est pas un mode valable d’opposition au dépôt de cookies 

A propos des cookies présents sur le site Challenges.fr, le Conseil d’Etat a précisé la portée de cette obligation de consentement et de gestion des cookies (CE, 6 juin 2018, Société Éditions Croque Futur, n° 412589).

1) L’éditeur d’un site internet doit veiller au respect de la légalité de tous les cookies déposés sur son site. 

C’est le premier apport de la décision.

La distinction est, a priori, relativement simple :

• Les cookies déposés sur le site internet par son éditeur ou par un tiers, mais pour le compte de celui-ci, relèvent de la responsabilité de l’éditeur du site internet,
• Les cookies déposés sur le site internet par des tiers relèvent de leur propre responsabilité.

Toutefois, dans sa décision du 6 juin 2018, le Conseil d’Etat a affiné cette distinction, en précisant que les éditeurs autorisant le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement.

Notons que le Conseil d’Etat n’utilise pas la notion de « co-responsable de traitement », abandonnée par la loi Informatique et Libertés, mais qui fait un retour en force avec l’entrée en vigueur du RGPD (règlement général sur la protection des données personnelles).

Le Conseil d’Etat considère que l’éditeur doit, en tout état de cause, s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respecteraient pas la règlementation applicable et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Dans ces conditions, il faut considérer que l’éditeur d’un site internet doit s’assurer du respect de la règlementation applicable de tous les cookies déposés sur son site internet.

2) Le paramétrage du navigateur n’est pas un mode valable d’opposition au dépôt de cookies.

C’est le second apport de la décision.

Les internautes doivent être informés, sur chaque site Internet qu’ils visitent, de la finalité des cookies utilisés et des moyens dont ils disposent pour s’y opposer (en proposant ce que l’on appelle un mécanisme d’opposition).

Le Conseil d’Etat précise que cette obligation de recueillir le consentement s’étend à tous les cookies à l’exception de ceux considérés comme « essentiels au fonctionnement technique du site » ou correspondent à la « fourniture d’une service de communication en ligne à la demande expresse de l’utilisateur ».

Généralement, l’internaute est informé par l’apparition d’un bandeau précisant :

• les finalités précises des cookies utilisés ;
• la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien » en savoir plus et paramétrer les cookies » présent dans le bandeau ;
• le fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal.

Une telle pratique était celle recommandée par la CNIL alors. 

En l’espèce, cette obligation était prétendument remplie par la simple proposition, faite à l’utilisateur, de paramétrer leur navigateur pour s’opposer aux cookies.

La CNIL puis le Conseil d’Etat ont jugé cela insuffisant, considérant que le respect de l’obligation de mise en œuvre de ce mécanisme d’opposition impliquait :

• de différencier clairement les catégories de cookies susceptibles d’être déposées sur l’ordinateur,
• de permettre de s’opposer seulement à ceux dont le dépôt est soumis au consentement préalable,
• de faire connaître les conséquences, en termes de navigation sur le site, attachées à une éventuelle opposition.

Aussi, il refuse de considérer comme valable la simple proposition de modifier le paramétrage de leur navigateur pour s’opposer aux dépôts de cookies.

Pour accéder à cette décision du Conseil d’Etat, cliquez ici.

III. La recette de la CJUE en 2018

NB : reprise pour ce III. de mon billet du 10 octobre 2018 :

• Cookies : la recette du Conseil d’Etat versus la recette de la CJUE 

Une société allemande dans le domaine de l’éducation proposait ses services via Facebook avec un classique recueil d’informations par cookies sans mention relative à ce point.

Le régulateur allemand demande donc à la société de désactiver ledit dispositif (une « page fan »), ce que la société contestait.

La CJUE a estimé que la société avait accepté la politique d’utilisation des cookies de Facebook et disposait de pouvoirs de paramétrages qui conduisaient à devoir la considérer — et c’est là le point capital  — comme étant responsable de ce traitement de données au sein de l’Union, conjointement avec Facebook.

D’où le dispositif suivant (qui réglait également quelques autres questions) :

« 1) L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

« 2) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

« 3) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.»

Voir : CJUE, 5 juin 2018, n° C-210/16 :

http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=854026

IV. Les nouvelles recettes françaises finalisant la transposition du droit européen (ordonnance 2018-1125 du 12 décembre 2018 ; décret 2019-536 du 29 mai 2019 ; délibération CNIL 2019-093 du 4 juillet 2019)

• Informatique et libertés : grand toilettage au JO de ce matin 

Voir la formulation actuelle de l’article 82 :

• https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=FC3CB2BEA666E78CC5080B51C0AD0E0F.tplgfr25s_3?idArticle=LEGIARTI000037813978&cidTexte=LEGITEXT000006068624&dateTexte=20191023

Puis a été adopté (fin de la transposition de la directive) :

• Décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (NOR: JUSC1911425D)

Tout ceci conduisant la CNIL à adopter une nouvelle délibération prévoyant un consentement net, clair, de l’utilisateur été non une acceptation tacite. Voir en ce sens la :

• Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif) (NOR: CNIL1920776Z)

Avec une phrase claire à l’article 2 :

« les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair. »

La suite de l’article est claire et exigeante sur les conditions de ce consentement.

L’article 4 exclut en l’état de la technique que ce consentement puisse résulter d’un paramétrage du terminal.

Cela dit, diverses règles particulières sont prévues notamment pour les traceurs de mesure d’audience.

V. La CJUE rejette, en 2019, une astuce de gâte-sauce, consistant à recourir aux cases pré-cochées par défaut en termes de consentement

Puis la CJUE est intervenue pour estimer que n’est pas un consentement valable en matière de cookies le recours à une case pré-cochée par défaut.

Voir CJUE 1er octobre 2019, aff. C-673/17 :

• http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=6948824

Avec la phrase clef que voici :

« le consentement visé à ces dispositions n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.»

VI. Débats sur l’application immédiate, ou non, de la recette européenne

Par un arrêt du 16 octobre 2019 (n°433069), le Conseil d’Etat a estimé légale la décision de la CNIL d’engager une concertation pour définir les nouvelles modalités pratiques d’expression du consentement en matière de publicité ciblée, et de laisser aux acteurs du secteur une période d’adaptation pour s’y conformer de six mois, après phase de concertation…. pour une transposition donc, pleine et entière, de la directive à l’horizon 2020, date estimée comme conforme au droit européen selon les uns, inconventionnelle pour les autres.

Voir :

• Publicité ciblée sur internet : le Conseil d’État rejette les recours contre le plan d’action de la CNIL 

VII. Le Conseil d’Etat corrige ensuite partiellement la recette de la CNIL

Puis vint l’arrêt du 19 juin 2020 par lequel le Conseil d’Etat a censuré partiellement les lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion.

En effet, à la suite de l’entrée en vigueur du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (CNIL) a adopté en 2019 de nouvelles lignes directrices relatives aux « cookies » et autres traceurs de connexion déposés par les éditeurs de sites internet dans les ordinateurs, tablettes ou téléphones des utilisateurs à des fins, notamment, de ciblage publicitaire.

Diverses associations professionnelles ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices.

NB : sur les contentieux contre les lignes directrices, voir l’évolution récente de l’état du droit :

• Droit souple : le juge rigide [suite avec, cette fois, l’extension des recours aux lignes directrices de l’administration même non impératives] 

L’interdiction des « cookie walls » ne pouvait pas figurer dans les lignes directrices

Les requérants contestaient en particulier l’interdiction, par les lignes directrices attaquées, de la pratique des « cookie walls » par laquelle les éditeurs de sites internet bloquent l’accès à leurs sites lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du dépôt de cookies et des traceurs de connexion.

Par la décision du 19 juin 2020, le Conseil d’État juge qu’en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple ». Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.

Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités du traitement de données

Les requérants critiquaient également le point des lignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ».
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose que le consentement de l’utilisateur préalable au dépôt de traceurs porte sur chacune des finalités du traitement des données recueillies. Le Conseil d’État précise que cette exigence implique, lorsque que le recueil du consentement est effectué de manière globale, qu’il soit précédé d’une information spécifique à chacune des finalités. Le Conseil d’État juge que le passage contesté des lignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.

Le Conseil d’Etat confirme par ailleurs la légalité des autres points contestés des lignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.

Source : CE, 19 juin 2020, n° 434684

VIII. Mettez à four très chaud (2020-2021)

La CNIL s’est alors adaptée, d’une part à cet arrêt 434684 du Conseil d’Etat, et d’autre part aux nouvelles lignes directrices sur le consentement au sens du règlement (UE) 2016/679 adoptées le 4 mai 2020 par le Comité européen de la protection des données.

Cela a conduit de la part de ladite CNIL à l’adoption de la délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 (NOR : CNIL2026187X), que voici :

• https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042398005?init=true&page=1&query=434684&searchField=ALL&tab_selection=all

Voir aussi la délibération n° 2020-092 du 17 septembre 2020 de la CNIL portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » :

• https://www.cnil.fr/sites/default/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf

Les grands principes confirmés par la CNIL sont les suivants (les lignes qui suivent reprennent les formulations de la CNIL elle-même, ici) :

• • Concernant le consentement des utilisateurs :
    • la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
    • les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
  • Refuser les traceurs doit être aussi aisé que de les accepter.
  • ​Concernant l’information des personnes : 
    • elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
    • elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

[…]

Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

[…]

Par ailleurs la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

Elle suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.

En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.

Afin de répondre aux questions des acteurs concernés et des internautes, la CNIL propose une FAQ accompagnement la publication des lignes directrices et de la recommandation.

[…] »

Une des questions se pose pour les « cookie walls ». Voici ce que la CNIL écrivait à ce sujet le 2 avril 2021 (voir ici) :

« La pratique des cookie walls revient à conditionner l’accès à un site à l’acceptation du dépôt de traceurs.

« Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.
« Cookie walls : décision du Conseil d’État et futur règlement ePrivacy
« La CNIL avait estimé que l’internaute ne devait pas subir d’inconvénients en cas d’absence ou de retrait du consentement et avait estimé la pratique des cookie walls illicite, en suivant la doctrine du Comité européen de la protection des données personnelles (CEPD), réunissant l’ensemble des CNIL européennes.
« Par sa décision du 19 juin 2020, le Conseil d’État a jugé que la CNIL ne pouvait interdire de manière générale et absolue le fait de conditionner l’accès à un site web à la possibilité d’exploiter des données à des fins de ciblage publicitaire.
« Plus récemment, le CEPD a publié une déclaration relative au projet de futur règlement ePrivacy dans laquelle il considère les utilisateurs devraient toujours se voir proposer des alternatives équitables par le même fournisseur de service et ce, indépendamment du secteur d’activité et du modèle économique de l’éditeur.»

IX. Servez avec de grosses amendes (2020-2021)

Puis vint le temps pour la CNIL de servir sa recette assortie de grosses amendes :

• Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED (60 M€)
• Délibération de la formation restreinte no SAN-2020-013 du 7 décembre 2020 concernant la société AMAZON EUROPE CORE (35 M€)
• Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (90 + 60 M€)
• Délibération de la formation restreinte no SAN-2020-012 du 7 décembre 2020 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (60 + 40 M€)

C’est cette dernière décision qui a conduit à un arrêt du Conseil d’Etat, confirmatif, hier.

X. Puis confirmez aux clients que le cookie va leur coûter très cher (arrêt rendu hier)

Le Conseil d’État a donc confirmé, hier, les deux amendes d’un montant total de 100 millions d’euros infligées par la CNIL à l’encontre de Google dans la décision  SAN-2020-012 du 7 décembre 2020 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (60 + 40 M€)… précitée. Et qui n’est qu’une des décisions de sanctions prises entre 2020 et 2021.

NB ce qui suit reprend pour partie le communiqué du CE.

Le Conseil d’État retient que Google n’a pas respecté ses obligations en matière de recueil du consentement de ses utilisateurs pour le dépôt de cookies. Il juge que les amendes infligées par la CNIL ne sont pas disproportionnées pour Google, compte tenu notamment des bénéfices importants produits par les cookies publicitaires.

Sur le principe, le Conseil d’État confirme dans sa décision la compétence de la CNIL pour intervenir, ainsi que les constats faits par cette autorité :

• absence d’information claire et complète des utilisateurs,
• défaut de recueil préalable de leur consentement
• mécanisme défaillant d’opposition aux cookies publicitaires.

En effet, le contrôle effectué par la CNIL en mars 2020 a établi que 7 cookies étaient automatiquement installés sur les ordinateurs des utilisateurs dès leur arrivée sur le site, dont 4 qui n’avaient qu’une finalité publicitaire.

Durant la procédure de contrôle effectuée par la CNIL, Google a modifié ses pratiques en août 2020, mais a continué à ne pas informer directement et explicitement l’utilisateur sur les finalités de ses cookies et les moyens de s’y opposer.

Le Conseil d’État observe :

• que le montant des amendes infligées par la CNIL n’excède pas la limite fixée par la loi informatique et libertés.
• qu’au vu des bénéfices importants produits par les données collectées au moyen de cookies publicitaires, mais aussi de la position de Google en France (+ de 90 % de part de marché soit 47 millions d’utilisateurs environ), ces amendes ne sont pas disproportionnées.

Pour ces différentes raisons, le Conseil d’État rejette la demande de Google d’annuler la sanction qui lui a été infligée par la CNIL.

Voici le résumé des tables de la base Ariane, qui préfigurent celles du rec. Lebon, au sein duquel cet arrêt sera publié en intégral. Nous les communiquons notamment parce que le Conseil d’Etat y est précis, d’une part, et traite aussi de la compétence reconnue à la CNIL en termes de « guichet unique » applicable aux traitements transfrontaliers, d’autre part :

« 1) Il résulte de l’article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d’informations stockées dans le terminal d’un utilisateur doit faire l’objet d’une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s’y opposer. Sociétés exploitant la page « google.fr » sanctionnées en l’espèce à bon droit par la Commission nationale de l’informatique et des libertés (CNIL) en raison d’une absence d’information claire et complète des utilisateurs, un défaut de recueil préalable de leur consentement et un mécanisme défaillant d’opposition aux cookies, tels que prévus par l’article 82 de la loi du 6 janvier 1978. 2) Après l’entrée en application, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), la CNIL a, par une délibération en date du 4 juillet 2019, adopté des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d’un utilisateur et a abrogé sa recommandation antérieure du 5 décembre 2013. Afin de permettre aux acteurs d’intégrer ces nouvelles lignes directrices, la CNIL a, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, annoncé la mise en place d’une période d’adaptation pendant laquelle elle s’abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s’achever six mois après l’adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière. Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l’ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n’ont pas remis en cause le régime préexistant, prévu au II de l’article 32 de cette même loi, lequel posait déjà le principe d’un consentement préalable au dépôt des cookies, celui d’une information claire et complète de l’utilisateur, ainsi que d’un droit d’opposition. Il s’ensuit, dès lors que la procédure engagée par la CNIL à l’encontre des sociétés ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, ni, en tout état de cause, les principes de sécurité juridique et de confiance légitime, engager une procédure de contrôle et de sanction quant au respect, par les sociétés, des obligations prévues à l’article 82 de la loi du 6 janvier 1978, dont la portée n’a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s’agissant en particulier du caractère préalable du consentement. »

CE, 28 janvier 2022, Google c: CNIL, n°449209 L, à publier en intégral au rec.