Alors que Google vient de subir une nouvelle sanction prononcée par la CNIL, le Conseil d’État confirme quelques jours plus tard une précédente sanction.

Les délibérations de la CNIL portaient toutes deux sur la gestion des cookies de Google sur son moteur de recherche, qu’il convient d’articuler.

Les opérations de lecture et d’écriture d’informations sur le terminal d’un utilisateur sont régies par l’article 82 de la loi n° 78-17 du 6 juillet 1978 « Informatique et Libertés » (LIL) qui transpose l’article 5 de la directive ePrivacy (2002/58/CE du 12 juill. 2002, mod. dir. 2009/136/CE du 25 nov. 2009).

Cet article 82 impose au responsable du traitement, d’une part, la délivrance d’une information relative aux finalités de l’utilisation des cookies et aux moyens dont disposent les personnes pour s’y opposer, et, d’autre part, le recueil du consentement de l’utilisateur.

Ces obligations doivent être satisfaites avant toute opération de traitement. Si l’information est régie par les dispositions spéciales de l’article 82 de la LIL, la notion de consentement doit être entendue comme celle définie par l’article 4, 11) du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

La délibération du 7 décembre 2020 ainsi attaquée portait sur l’information des personnes, tandis que la récente délibération du 31 décembre 2021 portait sur le recueil du consentement. Au fond, le Conseil d’État s’est donc exclusivement prononcé sur l’information des personnes, après avoir validé la compétence territoriale de la CNIL.

SUR LA COMPÉTENCE DE LA CNIL

Il est légitime de questionner la compétence de la CNIL en présence d’un traitement de données trans-frontalier, a fortiori lorsqu’il s’agit d’un traitement de données à caractère personnel. Il convient de rappeler qu’en présence d’un traitement trans-frontalier, l’autorité nationale de contrôle compétente est l’autorité de contrôle « chef de file », soit l’autorité de contrôle de l’établissement principal du responsable de traitement (RGPD, art. 56).

En l’occurrence et pour Google, l’autorité de protection des données irlandaise devrait, et suivant ce raisonnement, être seule compétente.


Or, la CNIL ne l’a pas entendu de cette manière. Par une articulation des normes, elle a fait échec à l’application des règles de compétence prévues par le RGPD, autrement dit, à l’application du mécanisme de guichet unique.

La directive ePrivacy, qui prévoit un régime particulier de règles applicables aux cookies, laisse aux États membres le soin de déterminer leurs règles de compétence en matière de sanction (art. 15 bis).

En France, il est prévu que la CNIL est compétente pour connaître des violations du RGPD et de la LIL, y incluant en conséquence l’article 82 portant sur les cookies (LIL, art. 16) privilégiant les règles de compétences fixées par la directive ePrivacy au détriment du RGPD, la CNIL s’est alors déclarée compétente.

Ce raisonnement est validé par le Conseil d’État, qui refuse de saisir la CJUE à titre préjudiciel d’une question y afférant. En effet, « pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement trans-frontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive ePrivacy] relèvent de la compétence conférée à la CNIL par la [LIL] ».

Le Conseil d’État ajoute une précision qui pourrait être intéressante vis-à-vis de la compétence de la CNIL pour sa récente délibération Google du 31 décembre 2021.
Cette décision portait effectivement sur le consentement des utilisateurs aux opérations de lecture et d’écriture de cookies sur leur terminal.

Ainsi expose-t-il que « si les conditions de recueil du consentement de l’utilisateur prévues par le [RGPD] sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur, il n’a pas été prévu l’application du mécanisme dit du "guichet unique" applicable aux traitements trans-frontaliers [...] pour les mesures de mise en œuvre et de contrôle de la directive [ePrivacy] ». De la sorte, le Conseil d’État semble anticiper un éventuel recours de la société.