Cookies : Google débouté de ses demandes

Retour aux articles du blog

Le 4 mars 2021, Google a été débouté en référé par le Conseil d’Etat dans une affaire l’opposant à la Commission nationale de l’informatique et des libertés (CNIL) sur la mise en œuvre de la directive e-privacy (CE, 4 mars 2021, Décision n°449212)

Par une requête, enregistrée le 29 janvier 2021 au secrétariat du contentieux du Conseil d’Etat, la société Google LLC et la société Google Ireland Limited ont demandé au juge des référés du Conseil d’Etat, statuant sur le fondement de l’article L. 521-1 du code de justice administrative, d’ordonner la suspension de l’exécution de la délibération de la formation restreinte de la CNIL du 7 décembre 2020 les concernant en tant qu’elle a prononcé à leur encontre  » une injonction de mettre en conformité le traitement avec les obligations résultant de l’article 82 de la loi  » informatique et libertés « , en particulier informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site  » google.fr  » :

  • des finalités de tous les cookies soumis au consentement,
  • des moyens dont elles disposent pour les refuser « 

et qu’elle a assorti cette injonction d’une astreinte de 100 000 euros par jour de retard  » à l’issue d’un délai de trois mois suivant la notification de la présent délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai « .

Google contestait la compétence de la Cnil sur le dossier, estimant qu’il relevait du mécanisme de guichet unique prévu par le RGPD (chapitre VI du règlement général de la protection des données) aurait dû être mis en oeuvre et donc de l’autorité irlandaise de protection des données.

Le juge n’a cependant pas suivi cette argumentation considérant que :

  • « il résulte de l’économie générale de la loi du 6 janvier 1978 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d’application, qu’il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu’aux obligations résultant du règlement du 27 avril 2016. Elle dispose, pour l’accomplissement de ses missions, du pouvoir de mettre en oeuvre ses prérogatives selon les modalités qu’elle juge les plus appropriées, y compris en recourant au prononcé d’une injonction de mettre en conformité un traitement qui ne respecte pas les obligations applicables aux  » cookies  » et autres traceurs de connexion découlant de l’article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002.« 
  • Les dispositions  de l’article 82 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés telles qu’interprétées « par la Cour de justice de l’Union européenne dans son arrêt C-673/17 du 1er octobre 2019, que les conditions de recueil du consentement de l’utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur. Ces dispositions ne prévoient pas, en revanche, l’application du mécanisme dit du guichet unique prévu à l’article 56 de ce règlement aux mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 qui relèvent de la compétence des Etats membres en application des dispositions de l’article 15 bis de cette directive. L’existence de ces dispositions spécifiques fait obstacle à ce que les dispositions du règlement du 27 avril 2016 sur le mécanisme du guichet unique puissent s’appliquer. « 

La requête présentée par les sociétés Google LLC et Google Ireland Limited a donc été rejetée sur ce fondement, le Juge n’ayant in fine même pas analysé les autres arguments relatifs au caractère urgent de la demande des requérantes.

Par Cynthia Picart


06/03/21

s’inscrire à la newsletter