CNIL vs Google : « tout ce que vous écrirez pourra être retenu contre vous »​

Retour sur la sanction RGPD de Google par la CNIL.

Sur le fond, les manquements sont très classiques : absence de consentement avant le dépôt de cookies publicitaires + absence d’information directe + information et retrait de consentement trop complexes à trouver.

⚡Au jour de la sanction Google n’avait corrigé ces points que partiellement : plus de cookies publicitaires déposés avant le consentement, mais information toujours insuffisante, d’où une astreinte de 100K€ /jour si ce n’est pas corrigé dans les 3 mois. 💸💸💸… mais regardez ci-dessous (capture du 10.12.2020), le cookie NID est déjà déposé alors que je n’ai rien accepté 🤔 (en principe il ne devrait plus l’être, bien sûr j’avais vidé mon cache et j’étais déconnecté de tout compte Google).

La formation restreinte relève que la société GIL a indiqué dans son courrier du 30 avril 2020 que quatre des sept cookies déposés, soit les cookies NID , IDE , ANID et 1P_JAR , poursuivent une finalité publicitaire.[…] Elle souligne néanmoins que durant la procédure de sanction les sociétés ont apporté des modifications à la page google.fr , qui ont notamment amené, depuis le 10 septembre 2020, à l’arrêt du dépôt automatique de ces quatre cookies dès l’arrivée de l’utilisateur sur la page.

 

Cookies Google

 

 

🦾Google fait de la résistance🦾

Notons que pendant la procédure de contrôle et sanction, Google a mis en œuvre une nouvelle interface mentionnant clairement le dépôt de cookies dès le premier accès au moteur de recherche, ce qui n’était pas le cas avant. Mais la firme s’est bien gardée de mettre un bouton « Tout refuser » ou même un bouton clair type « Paramétrage » comme la CNIL le recommande dans ses écrits les plus récents (ces recommandations constituent du « droit souple » non impératif).

Mais l’essentiel des débats a porté sur la compétence de la CNIL (matérielle et territoriale) et la responsabilité des traitements.

Google avançait que la CNIL n’était pas compétente et aurait dû s’effacer au profit de la Data Protection Commissionner Irlandaise (DPC), en vertu du mécanisme de guichet unique du RGPD. Et le groupe avançait également que la société mère Google LLC n’était que sous-traitante des entités sanctionnées, et non responsable conjoint de traitement, ce qui était un enjeu pour la détermination de la sanction pécuniaire.

Si je devais vous résumer les débats, je dirais : « tout ce que vous direz ou écrirez pourra et sera retenu contre vous ». La CNIL balaye tous les arguments de la firme californienne tel un professeur d’université en mentionnant de nombreux arrêts de principe de la CJUE ou du Conseil d’Etat, et tel un détective privé en se fondant sur de nombreux écrits de Google récupérés ici et là.

Quelques illustrations :

  • « [La Commission] souligne que l’avis du CEPD du 19 novembre 2020, invoqué par les sociétés dans leur note en délibéré du 2 décembre 2020, corrobore cette analyse dès lors que dans cet avis le CEPD se borne à appeler de ses vœux l’application du guichet unique au futur règlement, preuve qu’en l’état du droit positif, ce mécanisme ne s’applique pas aux dispositions cookies de la directive ePrivacy en vigueur. »
  • « L’organisation matricielle décrite par les sociétés lors de l’audition du 22 juillet 2020 a mis en évidence que la société GOOGLE LLC est également représentée dans les organes adoptant les décisions relatives au déploiement des produits au sein de l’EEE [… donc] malgré la prise d’effet du contrat de sous-traitance le 22 janvier 2019, la société GOOGLE LLC continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause.[…] Dès lors, la formation restreinte retient qu’il convient de lui attribuer également la qualité de responsable du traitement.
  • « La formation restreinte relève que le délégué à la protection des données désigné par la société GIL (ci-après DPO ) ainsi que ses DPO adjoints sont basés en Californie en qualité d’employés de la société GOOGLE LLC. À cet égard, il ressort des propres déclarations des représentants des sociétés faites lors de l’audition du 22 juillet 2020 que le groupe GOOGLE a fait ce choix afin que le DPO de la société GIL soit au plus près des décideurs de l’entreprise ».
  • « Si, dans l’arrêt Google Spain l’établissement du responsable du traitement était établi en dehors de l’Union européenne, la Cour a par la suite, dans son arrêt Facebook Ireland Ltd du 5 juin 2018, appliqué la même interprétation extensive des traitements effectués dans le cadre des activités d’un établissement national à une situation où le traitement était en partie sous la responsabilité d’un autre établissement présent au sein de l’Union européenne (CJUE, 5 juin 2018, C-210/16, pts 53 sq). »
  • « La formation restreinte rappelle, ensuite, que la CJUE s’est prononcée, à plusieurs reprises, sur la notion de responsabilité conjointe du traitement, notamment dans son arrêt Témoins de Jéhovah aux termes duquel elle a considéré que selon les dispositions »

On termine avec la mécanique de l’arroseur arrosé

La CNIL a demandé à Google de préciser le chiffre d’affaire des différentes sociétés au niveau des revenus publicitaires, ce à quoi la société s’est refusée. La CNIL a donc réalisé des estimations de CA d’après des données publiques pour évaluer le montant de l’amende, ce que Google lui a reproché. Et, en gros, la CNIL a répondu « bien fait » :

La formation restreinte relève que les sociétés n’ont notamment jamais communiqué aux services de la Commission les revenus publicitaires des sociétés GOOGLE LLC et GIL réalisés en France, éléments financiers pourtant demandés à plusieurs reprises par le rapporteur […]. En conséquence, la coopération dont elles ont fait preuve ne devrait avoir aucune incidence sur le montant de leur amende dès lors qu’elle est à peine conforme à ce que la CNIL est en droit d’attendre d’un responsable de traitement.