Google avait été identifié comme le moteur de recherche épuré, sobre avec sa page d’accueil vierge de toute publicité apparente et c’est sans doute un peu ironique de constater qu’il est devenu un géant du cookie publicitaire… finalement comme la vérité … la publicité est ailleurs.  

Le 7 décembre 2020, la CNIL a frappé un grand coup, en sanctionnant les deux géants du net Google et Amazon pour non-respect de la réglementation en matière de gestion des cookies pour un montant total de 135 millions d’euros.

En cause ? Le non-respect de la directive européenne ePrivacy, transposée en droit français par la Loi Informatique et Libertés du 6 janvier 1978.

La CNIL semble fort active en cette fin d’année puisqu’elle a également récemment sanctionné le géant de la grande distribution Carrefour pour non-conformité à la Loi Informatique et Libertés ainsi qu’au Règlement général sur la protection des données (RGPD), et ce, à hauteur de 3 millions d’euros.

La CNIL reproche aux deux géants informatiques d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche www.google.fr et de la marketplace www.amazon.fr sans consentement préalable ni information satisfaisante.

Synthèse de ce que l’on retient :

1.       Les conditions pour des cookies conformes au droit de l’Union et au droit français restent les même 

                     i.            Pas de dépôt de cookies publicitaires sans consentement préalable ;

                   ii.            Il faut une information directe, complète, claire et il doit être facile de retirer son consentement ;

                 iii.            Si l’utilisateur refuse le dépôt de cookies alors cette opposition doit être prise en compte.

2.       La compétence de la CNIL réaffirmée en matière de cookies déposés par des entreprises américaines

La CNIL affirme être compétente matériellement car le dépôt de cookies relève de la directive ePrivacy et non du RGPD, dès lors le mécanisme dit du guichet unique, qui aurait pu attribuer une compétence à une autre autorité, n’a pas vocation à s’appliquer.

La CNIL a considéré qu’elle était compétente territorialement car le recours à des cookies est effectué dans le « cadre des activités » des sociétés GOOGLE France et AMAZON France qui constituent chacune un « établissement » sur le territoire français.

3.       La qualification contractuelle est sans effet pour la CNIL 

La CNIL indique que la désignation contractuelle d’une entreprise comme étant un sous-traitant n’a aucune incidence sur son statut juridique vis-à-vis de l’autorité.

Dès lors ce qui est retenu est la réalité des faits : la qualification de responsable de traitement se déduit des faits et non de la qualification contractuelle.

La CNIL, comme tout juge, n’est donc pas tenue par la qualification retenue par les parties dans un contrat.

Faits et procédure :

Après une série de contrôles effectués en ligne sur le site web www.amazon.fr entre décembre 2019 et mai 2020 et sur le site web www.google.fr en mars 2020, la Commission a relevé que des cookies publicitaires étaient automatiquement déposés sur l’ordinateur de l’utilisateur et cela sans action de sa part.

Solution :

La CNIL a considéré qu’en déposant automatiquement des cookies sans information ni consentement préalable, Google et Amazon empêchaient nécessairement les internautes d’exprimer valablement leur consentement.

1)      Qui dit dépôt de cookies publicitaires dit consentement obligatoire

La Commission rappelle que seuls les cookies étant strictement nécessaires au bon fonctionnement du site sont exemptés du consentement de l’internaute. Les cookies déposés par Google et Amazon, n’étant pas essentiels au service, ils ne peuvent être déposés qu’après l’acceptation de l’utilisateur.

L’article 82 de la Loi Informatique et Libertés mis en cause dans ces affaires, dispose très clairement que le dépôt de cookies publicitaires ne peut se faire qu’après l’accord préalable de la personne concernée. Cette obligation de consentement, est d’autant plus renforcée par la définition donnée par le RGPD, selon laquelle le consentement se doit d’être recueilli de façon « libre, spécifique, éclairée et univoque ».

Ainsi la pratique des deux géants du net, de déposer des cookies publicitaires automatiquement à l’arrivée sur leur site était une pratique ne respectant pas le principe du consentement préalable.

2)      Une information claire avant tout

Le gendarme français des données relève aussi le manquement à l’obligation d’informer de façon « claire et complète » (article 82 de la Loi Informatique et Libertés), les utilisateurs de services de communications. Le défaut d’information des deux géants du numérique, se manifestait par l’absence d’informations directes ainsi que par des pratiques d’acceptation et de refus des cookies trop complexes.

·       Il est ainsi reproché à Google de ne pas informer suffisamment les internautes utilisant son moteur de recherche. En effet, malgré la présence d’un bandeau d’informations en pied de page, portant la mention « Rappel concernant les règles de confidentialité de Google », aucune information sur le dépôt automatique de cookies sur le terminal de l’utilisateur ne lui était fourni.

De plus, le droit d’opposition de l’utilisateur n’était pas respecté car malgré le refus de ce dernier, un cookie publicitaire était toujours stocké sur son terminal « l'information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d'être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser ».

·       Même constat du côté d’Amazon. De façon similaire, l’autorité de contrôle s’est rendue compte qu’en naviguant sur le site www.amazon.fr, le bandeau d’information ne présentait que d’une manière générale et approximative, les finalités des traceurs déposés, via la mention « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus ».  Ainsi l’internaute ne pouvait comprendre que les cookies déposés avaient pour objectif de lui proposer de la publicité personnalisée mais surtout qu’il lui était possible de les refuser.

Pire encore, lorsqu’un utilisateur arrivait sur le site www.amazon.fr en ayant cliqué sur une publicité provenant d’un site web tiers (par exemple : une liste de résultats dans un moteur de recherche), le défaut d’informations était encore plus accablant.

La CNIL précise en ce sens :

« A cet égard, à l’article 2 de sa recommandation de 2013, la Commission rappelait notamment que l’information devait être préalable au recueil du consentement mais également visible, mise en évidence et complète. En conséquence, la Commission recommandait aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes :

- première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

- seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience. »

3)      La compétence de la CNIL

Google remet en cause la compétence matérielle de la CNIL en vertu du « mécanisme de guichet unique » posé par le RGPD, selon lequel c’est l’autorité de contrôle irlandaise (DPC) en tant qu’autorité « chef de file », qui aurait dû se prononcer. On appelle « autorité chef de file », l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise.

Or Google Ireland Limited a son établissement principal en Irlande. En réponse, le régulateur français précise que le mécanisme de guichet unique ne s’applique pas en l’espèce car il ne concerne que les dispositions du RGPD. Or, l’utilisation des cookies est encadrée par la directive e-Privacy, transposée en droit interne par la Loi Informatiques et Libertés.

En ce sens, la CNIL indique notamment :

« L’avis du CEPD du 19 novembre 2020, invoqué par les sociétés dans leur note en délibéré du 2 décembre 2020, corrobore cette analyse dès lors que dans cet avis le CEPD se borne à appeler de ses vœux l’application du guichet unique au futur règlement, preuve qu’en l’état du droit positif, ce mécanisme ne s’applique pas aux dispositions cookies de la directive ePrivacy en vigueur. »

Concernant sa compétence territoriale, la Commission se fonde sur l’article 3 de la Loi précitée, qui dispose que « l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ». Ainsi le recours aux traceurs est considéré comme une activité de la société Google France qui constitue « l’établissement » sur le territoire français des sociétés Google LLC et Google Ireland Limited et y assure la promotion de leurs produits et services.

Le même raisonnement a été utilisé pour Amazon Europe Core, qui a pour établissement sur le territoire français Amazon France dont l’une des activités est le recours aux cookies. C’est cette même interprétation extensive des traitements effectués « dans le cadre des activités d’un établissement national lorsque le traitement est en partie sous la responsabilité d’un autre établissement présent au sein de l’Union européenne », qui avait était admis dans l’arrêt de la Cour de Justice de l’Union européenne Facebook Ireland Ltd.[1]

4) La responsabilité des traitements

La CNIL a considéré que Google LLC et Google Ireland Limited étaient deux responsables de traitement conjoints dans le cadre du dépôt des cookies sur le site www.google.fr.

Or, la firme de Mountain View a réfuté la responsabilité conjointe de traitement existante entre Google LLC et Google Ireland Limited, et ce notamment pour réduire le montant de la sanction pécuniaire. Elle a considéré que Google LLC, société mère, n’était qu’un sous-traitant car c’était ce qui était stipulé dans le contrat conclu entre Google LLC et Google Ireland Limited.

Cependant ce moyen fut contredit par la CNIL qui releva que les deux entités déterminent ensemble les finalités et les moyens liés à l’usage des cookies, faisant d’elles des responsables de traitement conjoints. La CNIL considère en outre que l’existence d’un contrat de sous-traitance entre Google LLC et Google Ireland Limited établissant que Google LLC n’est qu’un sous-traitant est sans valeur quant à la réelle qualification juridique de Google LLC :

« La formation restreinte considère que (…) malgré la prise d’effet du contrat de sous-traitance le 22 janvier 2019, la société GOOGLE LLC continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause. Elle détermine également les moyens du traitement étant donné que, comme évoqué ci-avant, c’est elle qui conçoit et construit la technologie des cookies déposés sur les terminaux des utilisateurs européens. Dès lors, la formation restreinte retient qu’il convient de lui attribuer également la qualité de responsable du traitement. »

5) Un bras de fer qui se poursuit …

C’est une véritable première car aucune autorité européenne n’avait sanctionné d’un tel montant un manquement aux règles encadrant le dépôt de cookies.

Google LLC est ainsi condamnée au paiement d’une amende de 60 millions d’euros et sa filiale Google Ireland Limited à une amende de 40 millions d’euros au motif d’un manquement aux principes de consentement, d’information et d’opposition en matière de dépôt de cookies.

Amazon est quant à elle, sanctionnée à payer 35 millions d’euros pour dépôt de traceurs sans consentement de l’utilisateur et cela peu important sa provenance.

La Commission justifie les montant des sanctions par le fait que Google en tant que principal moteur de recherche dispose d’une part de marché supérieure à 90% en France. De ce fait, alors que ces pratiques ont affecté près de 50 millions d’utilisateurs, Google a enregistré d’énormes bénéfices grâce aux « revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires ». Pour le porte-parole de la firme de Mountain View la décision de la CNIL « fait l'impasse sur les efforts du groupe en matière de transparence et de protection des utilisateurs. (…) Elle ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. (…) Nous poursuivons nos échanges avec la Cnil ».

De son côté Amazon dispose d’une part de marché de 20% en France. Ainsi le dépôt de cookies non consentis a permis au site d’e-commerce d’augmenter grandement sa visibilité et donc la consultation de ses produits. La firme d’e-commerce exprime aussi son désaccord, en affirmant que : « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons ».

Depuis Septembre 2020, la CNIL a relevé que le dépôt de cookies publicitaires sans le consentement des utilisateurs, n’est plus pratiqué par les deux géants. Cependant le bandeau d’information ne permet toujours pas de comprendre clairement les finalités des cookies publicitaires et notamment dans le cas de Google, la possibilité pour les internautes de refuser les traceurs.

Ainsi malgré les contestations des deux protagonistes à l’encontre des sanctions allouées à leur encontre, le temps est compté car ils ne disposent que de 3 mois pour se conformer aux exigences de la CNIL. A défaut ils s’exposeront à une pénalité de 100 000 euros par jour de retard.

Google et Amazon pourront ainsi s’aider des lignes directrices de la CNIL du 1er octobre 2020 ainsi que des recommandations portant sur l’usage des cookies et autres traceurs, afin de se conformer aux obligations en matière de publicité ciblée.

A noter que la nouvelle règlementation impose aux sites web d’afficher un bouton « tout accepter » et « tout refuser » lors du recueil du consentement aux cookies. Attention, à partir du 1er Avril 2021, la CNIL n’hésitera pas à sanctionner tout manquement à ces règles !

Retrouvez nos analyses sur les recommandations de la CNIL en matière de dépôt de cookies ainsi que les jurisprudences applicables :

Alerte publicité en ligne : la CNIL dit stop au dépôt de cookies sauvages

La réponse du Conseil d’état, en opposition à celle de la CJUE

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les décisions de la CNIL :

Décision CNIL/ Google LLC et Google Ireland Limited

Décision CNIL/Amazon Europe Core

[1] CJUE, 5 juin 2018, C-210/16

Le Comité européen de la protection des données (CEPD) vient de publier son projet de lignes directrices 07/2020 sur le concept de responsable de traitement et de sous-traitant au sens du RGPD.

Ce projet est soumis à une consultation publique jusqu’au 19 octobre 2020.

L’objectif : clarifier les rôles et responsabilités de chaque entité amenée à traiter des données personnelles au sens du RGPD.

L’enjeu : avoir une visibilité sur l'attribution du rôle de responsable de traitement pour garantir la responsabilité « accountability » ainsi qu’une protection efficace et effective des données personnelles.

Des définitions illustrées :

Le responsable de traitement est celui qui détermine les moyens et finalités de traitement :

• Ce rôle peut lui être attribué par voie législative ou réglementaire

Exemple : le droit national du pays A prévoit l'obligation pour les autorités municipales de fournir des prestations sociales telles que des paiements mensuels aux citoyens en fonction de leur situation financière. Afin d'effectuer ces paiements, l'autorité municipale doit collecter et traiter les données relatives à la situation financière des demandeurs. Même si la loi n’indique pas explicitement que les autorités municipales sont les responsables de ce traitement, cela se déduit implicitement de leurs obligations légales.

• Ce rôle peut lui être attribué par des éléments factuels 

Exemple : la société ABC engage un cabinet d'avocats pour la représenter dans un litige. Le cabinet doit traiter des données à caractère personnel liées au litige. Le traitement est justifié par le mandat du cabinet d'avocats pour représenter le client devant le tribunal. Ce mandat n'est toutefois pas spécifiquement destiné au traitement des données à caractère personnel. Le cabinet d'avocats agit avec un degré important d'indépendance, par exemple pour décider quelles informations utiliser et comment les utiliser, et il n'y a pas d'instructions de la société cliente concernant les données personnelles traitées. Le traitement que le cabinet d'avocats effectue pour remplir la mission de représentant de l'entreprise est donc lié au rôle fonctionnel du cabinet d'avocats, de sorte qu'il doit être considéré comme responsable de ce traitement.

Le sous-traitant est une entité distincte du responsable de traitement, qui traite des données pour le compte du responsable de traitement :

• Une entité distincte : un département d’une entreprise ne peut pas être considéré comme tel, en revanche une filiale le peut.

• Pour le compte : le sous-traitant traite des données sur instructions du responsable de traitement ; il ne sert pas ses propres intérêts.

Exemple : Service de taxi

Un service de taxi offre une plate-forme en ligne qui permet aux entreprises de réserver un taxi pour transporter des employés ou des invités à l'aéroport et à l'extérieur. Lors de la réservation d'un taxi, l'entreprise ABC indique le nom de l'employé qui doit être récupéré à l'aéroport afin que le chauffeur puisse confirmer l'identité de l'employé au moment de la prise en charge. Le service de taxi traite les données personnelles de l'employé dans le cadre de son service à la société ABC, mais le traitement en tant que tel n'est pas la cible du service. Le service de taxi a conçu la plate-forme de réservation en ligne dans le cadre du développement de sa propre activité commerciale de fourniture de services de transport, sans aucune instruction de la part de la société ABC. Le service de taxis détermine également de manière indépendante les catégories de données qu'il collecte et la durée de leur conservation. Le service de taxi agit donc en tant que responsable de traitement à part entière, nonobstant le fait que le traitement ait lieu à la suite d'une demande de service de la société ABC.

Exemple : Centre d'appel

La société X sous-traite son assistance à la société Y qui met à disposition un centre d'appel afin d’aider les clients de la société X à répondre à leurs questions. Le service d'assistance aux clients signifie que l'entreprise Y doit avoir accès aux bases de données des clients de la société X. L'entreprise Y ne peut accéder aux données que pour fournir le soutien que l'entreprise X a obtenu et la société Y ne pas traiter les données pour d'autres fins que celles indiquées par la société X. La société Y doit être considérée comme un sous-traitant et un accord de protection des données doit être conclu entre la société X et Y.

L’exigence d’un accord de protection de données

Le CEPD rappelle qu’un accord de protection de données doit obligatoirement être signé entre le responsable de traitement et le sous-traitant au sens du RGPD. Les parties peuvent se reposer sur des clauses contractuelles types (comme celles de la Commission européenne par exemple) pour former leur accord mais peuvent également choisir de négocier toute autre forme librement.

L’accord de protection de données ne devra pas se contenter de reprendre simplement les dispositions du RGPD. Il devra inclure des informations plus spécifiques et concrètes sur le niveau de sécurité requis pour le traitement des données, sur les obligations de chaque partie et sur leurs rôles respectifs en pratique.

Le CEPD recommande vivement aux responsables de traitement de documenter leurs instructions en établissant une procédure en annexe de l’accord de protection de données.

Le cas spécifique de la responsabilité conjointe

Le CEPD recommande aux responsables de traitement conjoints de définir clairement « qui fait quoi ? » afin de déterminer les rôles et responsabilités de chacun en matière de conformité au RGPD. Le but de cette répartition est d’assurer une mise en œuvre effective du RGPD.

Même si le RGPD énonce que la forme de l’accord entre les responsables de traitement est libre, le CEPD recommande de formaliser l’accord par un contrat afin de documenter les rôles et responsabilités de chacun de manière claire, précise et transparente et ainsi d’éviter tout conflit ou contestation ultérieure : qui sera le point de contact pour l’exercice des droits des personnes concernées ? qui sera le point de contact de l’autorité de protection des données ?

En ce sens, le CEPD recommande également aux parties d’inclure des informations générales sur le traitement conjoint, telles que les finalités, la durée de conservation, le type de données, les catégories de personnes concernées.

Pour plus d’informations, n’hésitez pas à parcourir le projet de lignes directrices (disponible uniquement en langue anglaise pour le moment).

Invalidation du Privacy Shield par la CJUE : quelles conséquences pour les entreprises transférant des données vers les Etats-Unis ?

RAPPEL JURIDIQUE

Tout d’abord, il est de bon ton de rappeler quelques règles juridiques de base.

L’accord Privacy Shield était un mécanisme d’auto-certification permettant aux entreprises américaines de traiter des données personnelles de citoyens européens. Il avait pour fondement juridique une décision d’adéquation de la Commission Européenne (Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016).

La Commission Européenne avait donc considéré que ce mécanisme offrait des garanties équivalentes à celles mises en œuvre par le droit de l’Union en matière de protection des données personnelles.

Néanmoins, la Cour de Justice de l’Union Européenne (CJUE) est habilitée à se prononcer sur la validité d’un acte de l’Union sur renvoi préjudiciel.

Dans le cas d’espèce, la CJUE indique aux autorités nationales que le mécanisme du Privacy Shield n’est pas valide au regard du droit de l’Union mais que les clauses contractuelles types encadrant les transferts de données vers des états tiers sont valides sous réserve de mécanismes effectifs de protection.

QUE DIT LE COMITÉ EUROPÉEN DE PROTECTION DES DONNÉES ?

Le CEPD interdit désormais tout transfert de données personnelles vers les Etats-Unis fondé sur le Privacy Shield, et ce de manière immédiate [1].

QUE DISENT LA COMMISSION EUROPÉENNE ET LE SECRÉTAIRE DU DÉPARTEMENT DU COMMERCE AMÉRICAIN ?

Dans un communiqué paru le 10 août 2020 sur le site de la Commission européenne, il est simplement indiqué que la Commission et le département du commerce américain allaient entamer des discussions afin d’améliorer le Privacy Shield afin de se conformer à la décision de la CJUE [2].

QUE FAIRE ?

Par suite de l’invalidation du Privacy Shield par la CJUE, plus de 5300 entreprises certifiées Privacy Shield doivent désormais trouver un nouveau mécanisme garantissant la protection des données personnelles en matière de transfert UE-Etats-Unis [3].

Il reste alors à évaluer les mécanismes les plus pertinents au cas par cas :

·       Les clauses contractuelles types de la Commission européenne (dans le respect des réserves émises par la CJUE)

·       Les règles d’entreprise contraignantes (article 47 du RGPD)

·       Les codes de conduite (article 46 du RGPD)

·       Les exceptions de l’article 49 du RGPD tels que le traitement fondé sur le consentement de la personne concernée ou sur l’exécution d’un contrat [4]

Chaque entreprise réalisant des transferts de données personnelles devra procéder en plusieurs étapes :

1.       Cartographier ses transferts et ses contrats

2.       Auditer ses cocontractants pour vérifier la localisation des transferts de données, si possible interdire les transferts vers les Etats-Unis   

3.       Si transfert vers les Etats-Unis, modifier ses contrats pour obliger le prestataire américain à ne divulguer les données que sur décision de justice

4.       Auditer ses cocontractants en cours d’exécution du contrat pour vérifier qu’ils se conforment bien aux exigences du RGPD

5.       Informer les personnes concernées par le transfert vers les Etats-Unis et leur indiquer leurs droits

Si vous ne pouvez pas mettre en place les garanties appropriées et que vous souhaitez continuer à transférer vos données vers les Etats-Unis, vous êtes tenus de notifier votre autorité de contrôle [5].

Au regard de l’incertitude juridique régnant actuellement et dans l’attente de précisions de la part des autorités de protection de données, il est aujourd’hui souhaitable et fortement recommandable de :

• Exiger des garanties contractuelles supplémentaires du prestataire situé sur le territoire américain (qui soient plus protectrices que les CCT actuelles).

• Recourir à des prestataires dont les centres de données se situent sur le territoire de l’Espace Economique Européen.

• Recourir à des prestataires dont les centres de données se situent sur le territoire d’un pays présentant un niveau de protection adéquat.

• Transférer des données vers les Etats-Unis dans les cas limitativement énumérés par l’article 49 du RGPD si ces transferts ne sont pas répétitifs et ne concernent qu’un nombre limité de personnes.
  

[1] https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences

[2] https://ec.europa.eu/info/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-ross-7-august-2020-2020-aug-07_en

[3] https://www.commerce.gov/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and

[4] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[5] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd