Dépêches

j

Vie des affaires

Cookies publicitaires

La sanction des cookies de Google est validée par le Conseil d'État

Le Conseil d’État confirme la compétence de la CNIL à prononcer des amendes contre Google pour des cookies irréguliers et valide les 100 M€ d'amende infligés à la multinationale.

Condamnation prononcée par la CNIL pour des cookies irréguliers

Violations de la loi Informatique et libertés. - En 2020, la CNIL a constaté trois violations à l’article 82 de la loi Informatique et Libertés commises par Google LLC et Google Ireland.

Tout d’abord, lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part. Ce type de cookies n’étant pas essentiel au service, les sociétés n’avaient donc pas respecté l’obligation de recueillir le consentement des internautes avant le dépôt des cookies.

Ensuite, le bandeau qui s’affichait en pied de page du moteur de recherche google.fr ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés sur le dépôt de cookies, en particulier sur les objectifs de ces cookies et les moyens pour les refuser.

Enfin, le mécanisme proposé pour refuser les cookies était partiellement défaillant. En effet, lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google, un cookie publicitaire demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

Amendes prononcées à hauteur de 100 M€. - Le 7 décembre 2020, la CNIL prononçait une amende d’un montant total de 100 M€ à l’encontre des sociétés Google LLC et Google Ireland Limited.

Ces sociétés ont formé un recours devant le Conseil d’État.

Validation de cette condamnation par le Conseil d’État

Compétence de la CNIL. - Devant le Conseil d’État, les deux sociétés faisaient valoir que l’autorité compétente pour statuer sur leur pratique des cookies n’était pas la CNIL mais, s’agissant d’un traitement transfrontalier, l’autorité nationale de contrôle de l’établissement du responsable du traitement, c’est-à-dire en l’espèce l’autorité irlandaise.

Leur argument est balayé par le Conseil d’État : les cookies ayant été mis en œuvre dans le cadre des activités de Google France, établissement en France des sociétés Google, la CNIL était compétente en vertu de la loi Informatique et libertés.

Condamnation justifiée. - Le Conseil d’État confirme les trois violations de l’article 82 de la loi Informatique et Libertés sanctionnées par la CNIL : le dépôt de cookies sans consentement préalable de l’utilisateur, le défaut d’information de l’utilisateur et la défaillance partielle du mécanisme proposé pour refuser les cookies.

Enfin, le Conseil d’État estime que le montant des amendes prononcées par la CNIL n’est pas disproportionné au regard de la gravité des manquements, de la portée des traitements et des capacités financières des deux sociétés.

CE 28 janvier 2022, n° 449209

Retourner à la liste des dépêches Imprimer