La haute autorité a validé la compétence de la Cnil, questionnée par le géant de la publicité, et valide de fait l’amende infligée à Google en 2020 concernant ses cookies.
Le Conseil d'Etat a rejeté vendredi l'appel de Google en vue de l'annulation d'une amende de 100 millions d'euros reçue de la Cnil en 2020 pour ses «cookies», une sanction pour laquelle il avait considéré que l'autorité française n'était pas compétente. Les filiales de Google en Europe «ne sont pas fondées à demander l'annulation de la délibération de la formation restreinte de la Cnil qu'elles attaquent», a notamment écrit le Conseil d'Etat dans sa décision.
«Nous prenons acte de la décision du Conseil d'Etat qui clarifie le jugement rendu par la Cnil l'année dernière. Nous avons procédé aux modifications requises par la Cnil, qui a clos la procédure en conséquence en 2021. Nous restons mobilisés afin de travailler de manière constructive avec la Cnil», a indiqué un porte-parole de Google.
Amendes records
En décembre 2020, le gendarme français des données personnelles avait infligé des amendes de respectivement 100 millions et 35 millions d'euros d'amende à Google et Amazon pour non-respect de la législation sur l'information préalable au dépôt des «cookies», les traceurs publicitaires du web. Lors d'un contrôle en mars de la même année, la commission avait relevé 3 manquements concernant Google: le dépôt de traceurs sans que l'internaute ait préalablement donné son accord, le défaut d'une information suffisamment claire sur la finalité des «cookies» et l'absence de procédure pour retirer son consentement.
Cette amende, record pour la Cnil à l'époque, a été dépassée début janvier par une nouvelle sanction de 150 millions d'euros contre Google (et de 60 millions d'euros contre Facebook), concernant cette fois les modalités du recueil du consentement.
Double législation
Dans son argumentaire, Google avait questionné l'interprétation juridique des liens entre les deux législations européennes qui régissent le sujet des données sur internet: la directive sur la vie privée (e-privacy) de 2002 qui dépend des instances nationales, et le règlement général sur la protection des données personnelles (RGPD) adopté en 2016. Selon l'analyse du géant de la recherche, l'affaire aurait dû passer par le mécanisme de «guichet unique européen» défini dans le RGPD, qui définit une autorité chef de file selon le pays d'implantation de l'entreprise (en Irlande pour Google). La Cnil avait considéré être compétente pour sanctionner les infractions relatives aux traceurs sur la base de la directive e-privacy et avait été appuyée dans cette interprétation par le juge des référés du Conseil d'État en mars 2021. Ce même raisonnement, mêlant deux législations (e-privacy et RGPD) a été réalisé pour l'amende de janvier 2022, de 150 millions d'euros.