2ème partie : Analyse des passages de la délibération sur la compétence de la CNIL pour contrôler et sanctionner Google.
Par la délibération SAN-2020-012 du 7 décembre 2020, la CNIL a prononcé une sanction financière de :
- 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED
- 60 millions d’euros à l’encontre de GOOGLE LLC
Et a prononcé les injonctions suivantes :
- Informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site google.fr :
- des finalités de tous les cookies soumis au consentement
- des moyens dont elles disposent pour les refuser
Cette injonction étant assortie d’une astreinte de 100 000 € par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération.
Beaucoup de Groupes internationaux considèrent que, dans le cadre du guichet unique, l’autorité de protection des données territorialement compétente est celle du lieu du siège européen pour tous les traitements … pourtant la position de la CNIL est parfaitement alignée avec celle du CEPD et de la CJUE…
Sur la compétence matérielle de la CNIL et l’applicabilité du mécanisme de guichet unique (ou ONE-STOP-SHOP) prévu par le RGPD |
L’ARGUMENTAIRE DE GOOGLE |
Google considère que la CNIL n’est pas compétente et qu’au regard de la procédure dite du guichet unique, c’est l’autorité de protection des données irlandaise qui doit traiter le dossier en qualité d’autorité chef de file.
Même si les dispositions régissant les cookies sont prévues dans la Directive ePrivacy et pas dans le RGPD, le système du guichet unique du RGPD devrait s’appliquer. |
LA POSITION DE LA CNIL |
Le contrôle de cette règle relève donc bien du mécanisme spécial de contrôle et sanction prévu par la directive ePrivacy et non des autorités de protection de données et du CEPD[1] en application du RGPD. C’est par un choix propre que le législateur français a confié cette mission à la CNIL. Ce mécanisme exclut donc l’application du mécanisme de guichet unique prévu par le RGPD à des faits relevant de la directive ePrivacy. La formation restreinte termine son argumentaire en indiquant que cette exclusion est corroborée par le fait que certains États membres peuvent avoir attribué cette compétence à une autorité autre que leur autorité de protection des données, par exemple à leur autorité de régulation des télécommunications. |
SUR LA COMPETENCE TERRITORIALE DE LA CNIL |
|
Ce que prévoit la loi française |
|
L’ensemble des dispositions de la loi I&L s’appliquent aux traitements des données à caractère personnel :
|
|
Les arguments de Google |
|
La CNIL ne disposerait pas de la compétence territoriale pour connaître de cette affaire étant donné que le siège réel du groupe GOOGLE en Europe, soit le lieu de son administration centrale au sens de l’article 56 du RGPD, est situé en Irlande. | |
L’argumentaire de la CNIL |
|
La compétence territoriale de la CNIL et la notion d’établissement |
La CJUE estime qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions |
Le rôle de GOOGLE FRANCE dans le traitement des cookies | Dans le cas présent, la CNIL relève que la société Google France :
|
La jurisprudence de la CJUE | Sur l’existence d’un traitement effectué dans le cadre des activités de cet établissement : la CJUE a considéré dans son arrêt Google Spain que :
En l’espèce, la formation restreinte relève :
|
EN CONCLUSION :
La formation restreinte relève que les deux critères prévus par la loi I&L sont donc réunis et que le traitement est suffisamment territorialisé en France pour être soumis à la loi française. L’application de la loi française ne concerne que les opérations liées aux cookies effectuées sur le territoire français, ce qui correspond aux cookies installés des terminaux situés en France. Il résulte de ce qui précède que la loi française est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction concernant le traitement en cause qui relève du champ d’application de la directive ePrivacy. |
[1] Comité Européen à la Protection des Données