La Commission nationale de l’informatique et des libertés (CNIL) a frappé fort le 7 décembre dernier en infligeant des amendes d’un montant inédit à Google (1) et Amazon (2), respectivement 100 et 35 millions d’euros, pour le non-respect des règles sur le ciblage publicitaire des internautes. Claire Poirson, associée du cabinet Bersay, décrypte ces décisions.
Qu’est-ce que l’autorité française de protection des données reproche à Google et Amazon ?
La CNIL reproche à ces deux entreprises d’avoir déposé des traceurs publicitaires sur les ordinateurs des internautes sans avoir délivré d’informations claires et précises sur les finalités de ces traceurs et sans avoir recueilli préalablement leur consentement. Bien que Google et Amazon aient essayé d’y remédier pendant la procédure de sanctions et de mettre en place des bandeaux plus conformes, la CNIL a considéré que les informations n’étaient toujours pas suffisamment claires et que le droit d’opposition des internautes n’était pas assez mis en avant.
Quelles leçons peut-on tirer de ces sanctions ?
Premièrement, la CNIL s’est déclarée compétente tant matériellement que territorialement pour sanctionner les deux membres des GAFAM, situés en dehors de la France. Elle justifie sa compétence sur le fondement de la directive 2002/58/CE «vie privée et communications électroniques» (dite directive «ePrivacy») transposée à l’article 82 de la loi Informatique et libertés. Elle a donc balayé l’argument du «mécanisme de guichet unique» prévu par le RGPD (Règlement général sur la protection des données) entré en vigueur en 2018. Deuxièmement, la CNIL n’a pas hésité à requalifier Google LLC et Google Ireland Limited comme étant responsables conjoints, alors que ces deux entités ont tout fait pour ne pas être considérées comme telles.
Quelle est la portée de ces décisions ?
Ce sont des amendes record au niveau européen. Par ailleurs, elles s’ajoutent à une précédente sanction de 50 millions d’euros à l’encontre de Google prononcée par la CNIL en 2019, concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android. Par ces décisions, la CNIL se positionne comme le gendarme de l’Europe en matière de données personnelles. Cette action s’inscrit dans un débat plus large au sein de l’Europe relevant de la souveraineté numérique européenne et de la culture de la donnée. L’Europe est en train de se construire en matière des données personnelles. La CNIL a pris le leadership sur ces sujets, faisant preuve d’un certain courage.
Ces amendes particulièrement élevées pèsent peu à l’échelle du chiffre d’affaires mondial de ces deux géants. Sont-elles réellement contraignantes ?
En 2019, Google Ireland Limited avait enregistré 38 milliards de dollars de chiffre d’affaires et 160 milliards de dollars pour Google LLC. Pour Amazon Europe Core, le chiffre d’affaires mondial était de 7,7 milliards d’euros. Effectivement, ces entreprises pourront s’acquitter sans difficulté des amendes qui leur ont été infligées. Mais faut-il encore tenir compte de la publicité de ces décisions, qui ont été largement relayées par les médias. De plus, il y a une injonction d’astreinte de 100 000 euros par jour de retard dans les deux décisions. Ces décisions vont faire le tour des autorités de protection des données personnelles européennes. Ces sanctions vont coûter finalement très cher aux deux sociétés. Le message de la CNIL s’adresse également à toutes les entreprises françaises, les incitant à se mettre en conformité sur la gestion des cookies.
Les deux entreprises ont vivement contesté la décision de la CNIL. Pensez-vous qu’elles vont déposer un recours auprès du Conseil d’Etat ?
Google et Amazon ont en effet exprimé leur désaccord avec ces sanctions. Amazon avait d’ailleurs soulevé un argument intéressant qui consistait à dire que la procédure de contrôle de la CNIL entachait le droit à un procès équitable, inscrit dans l’article 6 de la Convention européenne des droits de l’homme. Les deux sociétés vont très probablement déposer un recours auprès du Conseil d’Etat, puis devant la Cour européenne des droits de l’homme (CEDH) en cas de confirmation des décisions. Or l’an dernier, Google avait fait appel de la première amende. Mais le Conseil d’Etat avait considéré que la CNIL avait bien appliqué les règles du RGPD et surtout avait refusé de saisir la Cour de Justice de l’Union européenne (CJUE) sur une question préjudicielle. La juridiction suprême a donc complètement validé l’action de la CNIL à l’encontre de Google à l’époque.
Le principal enjeu est-il que cette réglementation européenne soit appliquée de façon harmonisée au sein de l’Union européenne ?
L’Europe doit avoir les moyens de ses ambitions. Elle a décidé d’avoir une réglementation très spécifique sur le respect de nos vies privées et des données personnelles. Celle-ci ne servira à rien si les sociétés qui méconnaissent les règles ne sont pas sanctionnées. Le ton est donné, en tout cas en France. Il faudrait que les autres autorités suivent, si l’on veut une application uniforme du RGPD et construire ainsi une gouvernance de la donnée personnelle à l’européenne.
(2). www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core
