Exclusif : la CNIL va infliger une sanction de 100 millions d’euros à l’encontre de Google

C’est la sanction la plus importante jamais prononcée sur le terrain des données personnelles en France. Selon nos informations, la CNIL infligera demain une sanction monstre de 100 millions d'euros à l’encontre de Google. En cause ? La gestion des cookies sur le moteur de recherche.

Contactée, la CNIL se refuse pour l’heure à tout commentaire, se contentant de nous indiquer qu’une décision sera effectivement publiée demain, sans plus de détail.

Cette pudeur contraste avec l’amende que s’apprête à infliger l’autorité indépendante à l’encontre du géant du Net et en particulier de ses deux entités Google LLC et Google Irlande.

En principe sur le terrain du règlement général sur la protection des données personnelles, la compétence pour mener à bien pareille action est dévolue à l’autorité dite « cheffe de file », soit ici l’homologue irlandais de la CNIL, là où Google a son siège européen.

Si, en janvier 2019, la commission avait malgré tout pu prononcer une amende de 50 millions d’euros contre Google, c’était tout simplement parce que « l’établissement irlandais ne disposait pas d’un pouvoir de décision sur les traitements mis en œuvre dans le cadre du système d’exploitation Android et des services fournis par Google LLC ».

Cette fois, cependant, la procédure concerne non le RGPD, mais la directive ePrivacy.

Indélicatesse sur les cookies 

Selon nos informations, c’est donc la gestion des cookies par l’écosystème Google qui est épinglé. Ces traceurs notamment destinés à assurer le suivi des internautes à des fins publicitaires.

Leur encadrement relève non du RGPD, mais de la directive ePrivacy de 2002 dont les dispositions ont été transposées à l’article 82 de la loi Informatique et Libertés. Cette directive relative à la vie privée dans le secteur des communications électroniques ne prévoit pas de système de guichet unique imposé par le RGPD. Résultat : la CNIL a donc pu agir seule, de sa propre initiative.

Concrètement, ces dispositions obligent les responsables de traitement à informer de manière « claire et complète » les internautes des finalités de ces traceurs outre des moyens dont ils disposent pour s’y opposer. De cette règle, découle la nécessaire information préalable, outre que ces personnes doivent pouvoir exprimer leur consentement librement.

L'information préalable et le consentement des internautes

Le RGPD n’est pas totalement exclu puisque, par un jeu d’ascenseur, ePrivacy renvoie au règlement du 25 mai 2018 le soin de définir la notion de consentement. Il s'agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». En clair, le consentement doit être libre, spécifique, éclairé et univoque.

D’après nos sources, la CNIL épingle justement cette politique chez Google, en particulier lors de l’arrivée sur la page de garde de son moteur s'agissant des utilisateurs non enregistrés.

Les détails ne sont pas encore connus, mais l'autorité va prononcer une amende de 60 millions d'euros contre Google LLC, l'entité américaine, et 40 autres millions contre Google Irlande. Soit un total de 100 millions d'euros. Un record.

Google confirme cette sanction

Contactée, Google France nous confirme cette sanction à venir et nous indique laconiquement que l’enquête avait été initiée en mars 2020, témoignage d’une procédure très rapide.

Ce mois de mars était l’épicentre d’une période aussi floue que compliquée, pas seulement en raison du confinement. En octobre 2020, la CNIL laissait en effet six mois aux acteurs du Net pour se conformer à ses nouvelles lignes directrices relatives aux cookies.

Dans le même temps, toutefois elle se réservait la possibilité « de poursuivre certains manquements, notamment en cas d'atteinte particulièrement grave au droit au respect de la vie privée ». En clair, certains acteurs ont pu profiter de mansuétudes, quand d’autres non, selon la gravité des indélicatesses appréciées par la seule autorité.

Selon nos constatations, alors que l’enquête se poursuivait, Google Search a modifié son bandeau d’information pour les utilisateurs non logués. Cette mise à jour décidée pas plus tard que cet été n’a semble-t-il pas été jugée suffisante par l’autorité indépendante.

Google aura la possibilité de contester cette décision devant les juridictions administratives. On ne sait pour l'heure quel sera son choix.