Même si les dispositions régissant les cookies sont prévues dans la Directive ePrivacy et pas dans le RGPD, le système du guichet unique du RGPD devrait s’appliquer.

LA POSITION DE LA CNIL

• le législateur français a chargé la CNIL de veiller au respect des dispositions de la directive ePrivacy transposées dans la loi I&L, en lui confiant notamment le pouvoir de :
  • sanctionner toute méconnaissance de cet article
  • le pouvoir de prendre les mesures correctrices en cas de non-respect du RGPD ou de ses propres dispositions.
• Le considérant 173 du RGPD prévoit explicitement que le RGPD n’être pas applicable aux traitements soumis à la directive ePrivacy
• La directive ePrivacy :
  • prévoit son propre mécanisme de contrôle de son application
  • laisse aux Etats membres la compétence pour déterminer le régime des sanctions
  • prévoit que l’utilisation de cookies doit systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information, ce qui constitue une règle spéciale au regard du RGPD puisqu’elle interdit de se prévaloir des bases légales mentionnées à l’article 6 qui ne requièrent pas un accord de l’utilisateur pour utiliser des cookies dans le respect des textes.

Le contrôle de cette règle relève donc bien du mécanisme spécial de contrôle et sanction prévu par la directive ePrivacy et non des autorités de protection de données et du CEPD[1] en application du RGPD. C’est par un choix propre que le législateur français a confié cette mission à la CNIL. Ce mécanisme exclut donc l’application du mécanisme de guichet unique prévu par le RGPD à des faits relevant de la directive ePrivacy.

La formation restreinte termine son argumentaire en indiquant que cette exclusion est corroborée par le fait que certains États membres peuvent avoir attribué cette compétence à une autorité autre que leur autorité de protection des données, par exemple à leur autorité de régulation des télécommunications.

Ce que prévoit la loi française

• effectués dans le cadre des activités d’un établissement d’un responsable du traitement (…)
• sur le territoire français
• que le traitement ait lieu ou non en France.

Les arguments de Google

L’argumentaire de la CNIL

La compétence territoriale de la CNIL et la notion d’établissement

• étant donné que les faits en cause relèvent matériellement des dispositions de la directive ePrivacy, et non du RGPD, le mécanisme de guichet unique prévu par ce dernier n’est pas applicable
• il convient de se référer de la loi I&L déterminant le champ de la compétence territoriale de la CNIL
• la jurisprudence de la CJUE sur l’application territoriale de la loi nationale demeure pertinente, dans la mesure où le législateur français a utilisé ces mêmes critères pour définir la compétence territoriale de la CNIL :
  • sur l’existence d’un établissement du responsable de traitement sur le territoire français : la CJUE a considéré de façon constante que :
    • la notion d’établissement devait être appréciée extensivement et qu’à cette fin, il convenait d’évaluer :
      • tant le degré de stabilité de l’installation que
      • la réalité de l’exercice des activités dans un autre État membre, en tenant compte :
        • de la nature spécifique des activités économiques et
        • des prestations de services en question.

La CJUE estime qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions

• est le siège de la filiale française de la société GOOGLE LLC
• dispose de locaux situés à Paris
• emploie environ 1 400 personnes
• a notamment pour objet la fourniture de services et/ou conseils relatifs aux logiciels, au réseau internet, aux réseaux télématiques ou en ligne, notamment l’intermédiation en matière de vente de publicité en ligne, la promotion sous toutes ses formes de la publicité en ligne, la promotion directe de produits et services et la mise en œuvre de centre de traitement de l’information
• est chargée d’assurer la promotion de la publicité en ligne pour le compte de GOOGLE IRLANDE, qui est co-contractante des contrats publicitaires conclus avec les entreprises françaises ou filiales françaises de sociétés étrangères
• participe de manière effective à la promotion des produits et services conçus et développés par la société GOOGLE LLC, tels que Google Search, en France, ainsi qu’aux activités publicitaires gérées par GOOGLE IRLANDE.

• le traitement relatif au moteur de recherche Google Search était effectué dans le cadre des activités de la société GOOGLE SPAIN, établissement de la société GOOGLE INC – devenue depuis GOOGLE LLC -,
• dans la mesure où la société GOOGLE SPAIN est destinée à assurer en Espagne la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ce moteur de recherche.
• Si, dans l’arrêt Google Spain l’établissement du responsable du traitement était établi en dehors de l’Union européenne, la CJUE a, par la suite, appliqué la même interprétation extensive des traitements effectués dans le cadre des activités d’un établissement national à une situation où le traitement était en partie sous la responsabilité d’un autre établissement présent au sein de l’UE
• Enfin, il faut relever que l’interprétation de la notion de traitement mis en œuvre dans le cadre des activités d’un établissement national du responsable de traitement est sans incidence sur le fait que le débiteur des obligations demeure le responsable de traitement et, le cas échéant, son sous-traitant.

En l’espèce, la formation restreinte relève :

• qu’il ressort des communiqués de la société GOOGLE FRANCE mis en ligne sur son site web que cette dernière a notamment pour mission d’accompagner les petites et moyennes entreprises en France à travers le développement d’outils de collaboration, de solutions publicitaires ou pour leur donner les clés de compréhension de leurs marchés et de leurs consommateurs
• GOOGLE France dispose d’une équipe de vente dédiée à la promotion et à la vente des services de GOOGLE IRLANDE à l’égard des annonceurs et des éditeurs basés en France, comme Google Ads
• le groupe GOOGLE précise sur son site web ads.google.com que Google Ads permet aux entreprises françaises de mettre leurs produits ou services en avant sur le moteur de recherche et sur un large réseau publicitaire.

• le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs du moteur de recherche Google Search résidant en France, notamment à des fins publicitaires,
• est effectué dans le cadre des activités de la société GOOGLE FRANCE sur le territoire français,
• laquelle est en charge de la promotion et de la commercialisation des produits GOOGLE et de leurs solutions publicitaires en France.

La formation restreinte relève que les deux critères prévus par la loi I&L sont donc réunis et que le traitement est suffisamment territorialisé en France pour être soumis à la loi française.

L’application de la loi française ne concerne que les opérations liées aux cookies effectuées sur le territoire français, ce qui correspond aux cookies installés des terminaux situés en France.

Il résulte de ce qui précède que la loi française est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction concernant le traitement en cause qui relève du champ d’application de la directive ePrivacy.