Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Google, 31 décembre 2021

Résumé des faits

Après avoir reçu plusieurs plaintes au sujet des modalités de refus des cookies sur les sites web google.fr et youtube.com, la CNIL a effectué un contrôle sur ces sites et a constaté qu’un bouton permettant d’accepter les cookies existe mais que la modalité de refus des cookies est plus complexe.
La CNIL a ainsi sanctionné Google d’une amende publique de 150 millions d’euros (90 millions d’euros pour Google LLC et 60 millions d’euros pour Google Ireland Limited), pour non-respect de l’exigence portant sur la liberté du consentement.

Motifs de la sanction / Manquements

  • Non-respect de l’article 82 de la loi Informatique et Libertés : absence de mécanisme permettant de refuser les cookies aussi facilement que de les accepter.
  • Non-respect de l’article 4, 11) du RGPD : absence de mécanisme permettant de consentir librement.

Que retenir de la décision ?

  • Le principe de liberté du consentement implique que l’utilisateur ait une véritable liberté de choix et un contrôle réel et que le mécanisme en place ne soit pas biaisé en faveur du consentement.
  • Un mécanisme qui nécessite d’effectuer plus d’actions pour refuser les cookies que pour les accepter décourage les utilisateurs de refuser les cookies et ne correspond pas à un moyen valide présentant le même degré de simplicité pour le refus et pour l’acceptation des cookies.
  • La notion de responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents acteurs pour un même traitement.
  • La CNIL est compétente pour sanctionner les pratiques qui concernent les cookies impliquant un dépôt sur les terminaux d’utilisateurs se trouvant en France. Ces opérations relevant de la directive e-privacy qui a été transposée à l’article 82 de la loi Informatique et Libertés, le mécanisme de « guichet unique » ne s’applique pas.

Les + de Data Legal Drive

  • Malgré l’existence d’un contrat de sous-traitance, les éléments factuelles sont principalement pris en compte lors de la définition du type de responsabilité de chaque acteur et de son rôle dans le processus décisionnel lié aux traitements en question.
  • La CNIL n’est pas tenue d’adresser une mise en demeure au responsable de traitement avant d’engager une procédure de sanction à son encontre.

Délibération complète de la CNIL

Consulter

À lire aussi