Conseil d'État
N° 430810
ECLI:FR:CECHR:2020:430810.20200619
Publié au recueil Lebon
10ème - 9ème chambres réunies
M. Réda Wadjinny-Green, rapporteur
M. Alexandre Lallet, rapporteur public
SCP SPINOSI, SUREAU ; SCP FOUSSARD, FROGER, avocats
Lecture du vendredi 19 juin 2020
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire, deux mémoires en réplique, des observations complémentaires et un nouveau mémoire, enregistrés les 16 mai, 1er août et 19 décembre 2019 et les 11 février, 18 mai et 10 juin 2020 au secrétariat du contentieux du Conseil d'Etat, la société Google LLC demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2019-001 du 21 janvier 2019 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d'un montant de 50 000 000 d'euros et décidé de de rendre publique sa délibération, qui sera anonymisée à l'expiration d'un délai de deux ans à compter de sa publication ;
2°) à titre subsidiaire, de poser les questions préjudicielles suivantes à la Cour de justice de l'Union européenne et de surseoir à statuer dans l'attente de la réponse de la Cour à ces questions :
" 1 - Un responsable du traitement constitué dans un pays tiers à l'Union européenne ayant plusieurs établissements dans l'Union européenne et un siège européen désigné sur le territoire d'un Etat membre peut-il avoir un " établissement principal " au sens de l'article 4(16) du RGPD dans cet État membre dans l'hypothèse où les décisions sur les finalités et les moyens du traitement sont prises dans ce pays tiers '
2 - Lorsqu'un responsable du traitement envisage un traitement ayant plusieurs finalités et cherche à obtenir le consentement de la personne concernée en application de l'article 6(1)(a) du RGPD pour l'ensemble de ces finalités, l'article 7(2) et le considérant 32 du RGPD imposent-ils au responsable du traitement de donner la possibilité à la personne concernée de détailler son consentement par finalité dès le premier niveau d'information, ou la personne concernée peut-elle donner son consentement par un acte positif clair et unique pour l'ensemble des finalités dans le premier niveau d'information tout en ayant accès, par le biais d'un lien ou de tout autre moyen, à la possibilité de détailler son consentement dans un second niveau d'information ' ".
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2005-1309 du 20 octobre 2005 ;
- l'arrêt de la Cour de justice de l'Union européenne C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband eV contre Planet49 GmbH du 1er octobre 2019 ;
- le code de justice administrative et l'ordonnance n° 2020-305 du 25 mars 2020 modifiée ;
Après avoir entendu en séance publique :
- le rapport de M. Réda Wadjinny-Green, auditeur
- les conclusions de M. Alexandre Lallet, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de la société Google LLC et à la SCP Foussard, Froger, avocat de l'association de l'Union fédérale des consommateurs - Que choisir ;
Vu la note en délibéré, enregistrée le 13 juin 2020, présentée par la société Google LLC ;
Considérant ce qui suit :
1. Il résulte de l'instruction que la Commission nationale de l'informatique et des libertés (CNIL) a été saisie les 25 et 28 mai 2018 de deux plaintes collectives déposées en application de l'article 80 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit Règlement général sur la protection des données (RGPD), formées par les associations None of Your Business et La Quadrature du Net. Le 21 septembre suivant, la CNIL a diligenté un contrôle en ligne afin de vérifier la conformité des traitements opérés par la société Google LLC à partir des données personnelles des utilisateurs du système d'exploitation Android à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et au RGPD. A la suite de ce contrôle, la présidente de la CNIL a engagé une procédure de sanction. Par une délibération du 21 janvier 2019, dont la société Google LLC demande l'annulation, la formation restreinte de la CNIL a infligé à cette société une sanction pécuniaire de 50 000 000 d'euros à raison de manquements aux articles 6, 12 et 13 du RGPD et a décidé de rendre cette sanction publique pendant une durée de deux ans à compter de sa publication.
Sur l'intervention de l'UFC - Que choisir :
2. L'UFC - Que choisir justifie, eu égard à l'objet et à la nature du litige, d'un intérêt suffisant pour intervenir dans la présente instance au soutien des conclusions présentées par la Commission nationale de l'informatique et des libertés (CNIL), qui tendent au rejet de la requête. Son intervention est, par suite, recevable.
Sur la compétence de la CNIL :
3. L'article 55 du RGPD dispose que : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève " tandis qu'aux termes de l'article 56 du règlement : " 1. Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60. (...) 6. L'autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ". En vertu du 7) de l'article 4 de ce même règlement, la notion de " responsable de traitement " désigne " la personne physique ou morale (...) qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (...) " tandis qu'aux termes du 16 de ce même article celle " d'établissement principal " doit être entendue comme " a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal (...) ". Enfin, le 36ème considérant du règlement précise que : " L'établissement principal d'un responsable du traitement dans l'Union devrait être déterminé en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement dans le cadre d'un dispositif stable (...) ".
4. Il résulte clairement des dispositions citées au point précédent que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union. Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en oeuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en oeuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.
5. La société Google LLC soutient que la CNIL n'était pas compétente pour engager la procédure de sanction mentionnée au point 1 et qu'elle était tenue de transmettre les plaintes qu'elle avait reçues à l'autorité de protection des données irlandaises, dès lors que la société Google Ireland Limited devait être considérée comme son établissement principal au sein de l'Union européenne. Elle se borne à indiquer notamment que son établissement irlandais constitue son " siège social " pour ses opérations européennes, qu'il dispose de moyens financiers et humains importants et assume, pour l'ensemble de l'Europe, la responsabilité de " nombreuses fonctions organisationnelles ", dont la consistance n'est pas précisée. Il est constant que le système d'exploitation Android était, à la date de la décision attaquée, exclusivement développé et exploité par la société Google LLC, implantée au Etats-Unis et responsable des traitements litigieux. D'une part, il ne résulte pas de l'instruction que la société Google Ireland exerçait, à cette date, un pouvoir de direction ou de contrôle sur les autres filiales européennes de la société Google LLC de nature à la regarder comme une administration centrale au sens du RGPD. D'autre part, il résulte de l'instruction que cet établissement, qui ne s'est en tout état de cause vu attribuer de nouvelles responsabilités s'agissant des traitements opérés par Google en Europe qu'à partir du 22 janvier 2019, soit postérieurement à la date de la sanction attaquée, ne disposait jusqu'à cette date d'aucun pouvoir décisionnel quant aux finalités et aux moyens des traitements litigieux, pas plus qu'aucun autre de ses établissements européens.
6. Il résulte de ce qui a été dit aux points 4 et 5 que la société Google Ireland Limited ne pouvait être regardée comme l'administration centrale du responsable des traitements litigieux et que la société Google LLC, qui seule déterminait leurs finalités et moyens, ne disposait pas, à la date de la sanction attaquée, d'établissement principal au sein de l'Union européenne, au sens et pour l'application du RGPD. Aucune autorité chef de file ne pouvant dès lors être désignée dans les conditions prévues à l'article 56 du RGPD, la CNIL était compétente pour instruire les plaintes des associations None of Your Business et La Quadrature du Net à raison des traitements des données personnelles des utilisateurs français du système d'exploitation Android opérés par la société Google LLC et infliger à cette dernière la sanction attaquée. La reconnaissance d'une telle compétence de la CNIL à l'égard des responsables de traitement de données des utilisateurs situés en France, dont les conditions de détermination ne méconnaissent en tout état de cause pas le principe de légalité des délits et des peines, ne saurait entraîner une violation du principe du non bis in idem.
Sur la régularité de la procédure :
7. En premier lieu, le comité européen de la protection des données (CEPD) émet un avis dans les hypothèses visées au paragraphe 1 de l'article 64 du RGPD, au nombre desquelles ne figurent pas les procédures de sanction, ou lorsqu'il est saisi à cet effet par une autorité de contrôle, le président du comité ou la Commission en vertu du deuxième paragraphe de ce même article. Le comité peut également prendre des décisions contraignantes dans les cas visés à l'article 65 du règlement, qui dispose notamment que : " 1. En vue d'assurer l'application correcte et cohérente du présent règlement dans les cas d'espèce, le comité adopte une décision contraignante dans les cas suivants : a) lorsque, dans le cas visé à l'article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l'égard d'un projet de décision de l'autorité de contrôle chef de file et que l'autorité de contrôle chef de file n'a pas donné suite à l'objection ou a rejeté cette objection au motif qu'elle n'est pas pertinente ou motivée (...) b) lorsqu'il existe des points de vue divergents quant à l'autorité de contrôle concernée qui est compétente pour l'établissement principal ; / c) lorsqu'une autorité de contrôle compétente ne demande pas l'avis du comité dans les cas visés à l'article 64, paragraphe 1, ou qu'elle ne suit pas l'avis du comité émis en vertu de l'article 64 ".
8. Il résulte de l'instruction que, le 1er juin 2018, la CNIL a soumis les plaintes dont elle était saisie à ses homologues européens via le système européen d'échange d'information en vue de la désignation d'une éventuelle autorité chef de file. Aucune autorité de contrôle européenne n'a alors décidé de saisir le comité européen de la protection des données ni fait part d'une appréciation divergente de celle de la CNIL quant à l'absence d'établissement principal de Google LLC en Europe. En outre, postérieurement à cette date, l'autorité de protection des données irlandaise a publiquement indiqué, par un droit de réponse exercé le 27 août 2018 dans le quotidien Irish Times, qu'elle n'était pas l'autorité chef de file de Google LLC dès lors que l'établissement irlandais de cette société ne disposait d'aucun pouvoir décisionnel quant aux traitements de données qu'elle opérait en Europe. En l'absence de point de vue divergent et dès lors que l'instruction de la plainte en litige ne relève d'aucun autre cas prévu par les articles 64 et 65 du RGPD, le moyen tiré de ce que l'absence de saisine du comité européen de la protection des données aurait entaché la procédure d'irrégularité ne peut qu'être écarté.
9. En second lieu, le mécanisme prévu aux articles 60 à 62 du RGPD, qui a pour objectif d'encourager la coopération entre les différentes autorités de contrôle européennes de protection des données et d'assurer une application cohérente du règlement dans l'ensemble de l'Union, ne s'applique qu'en cas de désignation d'une autorité chef de file ou d'opérations conjointes des autorités de contrôle. La procédure litigieuse ne relevant d'aucune de ces deux hypothèses, le moyen tiré de la méconnaissance par la CNIL de son devoir de coopération et d'assistance mutuelle, qui en tout état de cause ne saurait être utilement invoqué à l'appui d'un recours dirigé contre une sanction infligée par elle, ne peut qu'être écarté.
Sur la méconnaissance des droits de la défense :
10. En premier lieu, la société requérante soutient que le décret du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, sous l'empire duquel s'est déroulée la procédure litigieuse, méconnaît les droits de la défense et le droit au procès équitable garantis par l'article 16 de la Déclaration des droits de l'homme et du citoyen de 1789 et l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales dès lors, d'une part, que les délais de procédure qu'il prévoit sont trop brefs pour permettre au responsable de traitement de préparer utilement sa défense et, d'autre part, qu'aucune modulation de ce délai, notamment pour les responsables de traitement établis à l'étranger, n'est aménagée.
11. Aux termes de l'article 16 de la Déclaration des droits de l'homme et du citoyen de 1789 : " Toute société dans laquelle la garantie des droits n'est pas assurée, ni la séparation des pouvoirs déterminée, n'a point de Constitution ". Cette disposition implique notamment qu'aucune sanction ayant le caractère d'une punition ne puisse être infligée à une personne sans que celle-ci ait été mise à même de présenter ses observations sur les faits qui lui sont reprochés. S'agissant des mesures à caractère de sanction, le respect du principe général des droits de la défense suppose que la personne concernée soit informée, avec une précision suffisante et dans un délai raisonnable avant le prononcé de la sanction, des griefs formulés à son encontre et puisse avoir accès aux pièces au vu desquelles les manquements ont été retenus, à tout le moins lorsqu'elle en fait la demande.
12. L'article 74 du décret du 20 octobre 2005, alors en vigueur, dispose que : " Lorsqu'une sanction est susceptible d'être prononcée, le président de la commission désigne un rapporteur n'appartenant pas à la formation restreinte et en informe le responsable de traitement ou le sous-traitant mis en cause. / Le rapporteur procède à toutes diligences utiles avec le concours des services de la commission. Le responsable du traitement ou le sous-traitant peut être entendu si le rapporteur l'estime utile (...) ". Aux termes de l'article 75 de ce même décret : " Le rapport prévu par l'article 47 de la loi du 6 janvier 1978 susvisée est notifié au responsable du traitement ou au sous-traitant par tout moyen permettant à la commission d'apporter la preuve de la date de cette notification. Il est également transmis à la formation restreinte. / Le responsable du traitement ou le sous-traitant dispose d'un délai d'un mois pour transmettre au rapporteur et à la formation restreinte ses observations écrites. La notification du rapport mentionne ce délai et précise que le responsable du traitement peut prendre connaissance et copie des pièces du dossier auprès des services de la commission et se faire assister ou représenter par tout conseil de son choix. / Le rapporteur peut répondre au responsable du traitement ou au sous-traitant dans les quinze jours suivant la réception des observations du mis en cause. Le responsable du traitement ou le sous-traitant dispose d'un nouveau délai de quinze jours pour, le cas échéant, produire des observations écrites. (...) Le responsable du traitement ou le sous-traitant est informé que passés les délais mentionnés aux alinéas précédents, sauf report de la clôture de l'instruction, l'instruction est close et ses observations écrites seront déclarées irrecevables par la formation restreinte. / A tout moment, le rapporteur peut décider de modifier son rapport, notamment, au vu d'éléments portés à sa connaissance par le responsable du traitement ou le sous-traitant. Il est alors fait application de la procédure prévue aux alinéas précédents. Si la modification intervient après la clôture de l'instruction, l'instruction est rouverte ". L'article 76 du décret prévoit enfin que : " Le responsable du traitement ou le sous-traitant est informé de la date de la séance de la formation restreinte au cours de laquelle est inscrite l'affaire le concernant et de la faculté qui lui est offerte d'y être entendu, lui-même ou son représentant, par tout moyen permettant d'attester la date de sa notification. Cette information doit lui parvenir au moins un mois avant la date de la séance au cours de laquelle l'affaire est examinée. En cas de réexamen ou de report de l'affaire lors d'une séance ultérieure, ce délai minimal peut être ramené à sept jours ".
13. D'une part, il résulte de ces dispositions que le responsable de traitement à qui est notifié un rapport proposant une sanction à son égard dispose d'un délai d'un mois pour transmettre ses observations à la formation restreinte et au rapporteur, puis d'un délai de quinze jours en réplique pour répondre aux nouvelles observations du rapporteur, le cas échéant. A l'issue de ce dernier délai, l'instruction est en principe close. Une date d'audience est par ailleurs fixée, au cours de laquelle le responsable du traitement peut présenter des observations orales. Le responsable est informé de cette date au moins un mois avant la tenue de l'audience. Il ressort en outre des dispositions des articles 75 et 76 précités que le président de la formation restreinte peut, selon les circonstances de l'affaire, reporter tant la date de clôture de l'instruction que la date de l'audience afin de permettre au responsable de traitement de préparer sa défense. D'autre part, aucune règle ni aucun principe n'impose l'institution, en matière de procédure administrative de sanction, d'un délai de distance, applicable aux requérants domiciliés hors de la France métropolitaine. Dans ces conditions, l'exception d'illégalité des articles 75 et 76 du décret du 20 octobre 2005 doit être écartée.
14. En second lieu, il est soutenu qu'en l'espèce, la procédure suivie a méconnu les droits de la défense, la société Google n'ayant pas été mise à même de faire valoir utilement ses observations. Il résulte de l'instruction que la société requérante a d'abord disposé d'un délai d'un mois pour répondre au rapport du rapporteur. Elle a ensuite disposé d'un second délai d'un mois pour réagir à la réplique du rapporteur, le président de la formation restreinte lui ayant accordé une extension du délai de quinze jours, si bien que la clôture de l'instruction n'a été prononcée qu'au terme d'un délai de deux mois et quinze jours à compter de la transmission du rapport précité. Si, à deux reprises au cours de la procédure, la société requérante a demandé l'organisation d'une audition, d'abord auprès de la Commission, puis du rapporteur, sur le fondement de l'article 74 du décret du 20 octobre 2005, et que ces demandes ont été rejetées les 11 octobre et 13 novembre 2018, il résulte de l'instruction que la séance de la formation restreinte, initialement prévue le 10 janvier 2019, a été reportée, à la demande de la requérante, au 15 janvier et que celle-ci a pu y présenter des observations orales. Dans ces conditions, la société a été mise à même de préparer et de présenter utilement sa défense. Le moyen tiré de la méconnaissance des droits de la défense doit donc être écarté, sans qu'aient d'incidence sur ce point la circonstance que la plus grande part des pièces de la procédure était rédigée en langue française ni l'absence de mise en demeure préalable.
Sur les manquements constatés aux obligations d'information et de transparence :
15. Le 1 de l'article 12 du RGPD dispose que : " Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique (...) ". L'article 13 de ce même règlement précise les informations qui doivent obligatoirement être fournies aux utilisateurs. Il résulte clairement de ces dispositions que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles.
16. La société Google LLC soutient que l'architecture qu'elle a retenue vise à informer les utilisateurs de façon claire et intelligible à partir d'une approche à plusieurs niveaux, conformément aux recommandations du comité européen de la protection des données. Le premier niveau, composé des " Règles de confidentialité et conditions d'utilisation " présente la portée et les principales finalités du traitement, tandis que plusieurs liens hypertextes - " conditions d'utilisation " ; " règles de confidentialité " ; " plus d'options " ; " règlement " ; " en savoir plus " - permettent aux utilisateurs d'accéder à une information plus exhaustive. Enfin et postérieurement à la création d'un compte, d'autres outils sont mis à la disposition de l'utilisateur pour gérer ses paramètres de confidentialité, à l'image du " check-up confidentialité " et de l'outil " dashboard ".
17. En premier lieu, le premier niveau d'information proposé aux utilisateurs apparaît excessivement général eu égard à l'ampleur des traitements opérés par la société, au degré d'intrusion dans la vie privée qu'ils impliquent et au volume et à la nature des données collectées.
18. En deuxième lieu, il résulte de l'instruction que les informations essentielles relatives à certains traitements ne sont accessibles qu'à la suite de nombreuses actions, ou qu'elles ne le sont qu'à partir de liens hypertextes eux-mêmes difficilement accessibles. Pour obtenir l'ensemble des informations pertinentes relatives au traitement personnalisé des annonces, un utilisateur doit d'abord effectuer trois actions à partir du premier niveau d'information, avant de revenir au document initial et d'effectuer deux nouvelles actions, soit un total de cinq actions, tandis que six actions sont nécessaires pour obtenir une information exhaustive quant à la géolocalisation. Les informations relatives à la durée de conservation des données, qui doivent être obligatoirement fournies en vertu du a) du 2° de l'article 13 du RGPD, ne sont accessibles qu'à partir d'un lien hypertexte disponible à la soixante-huitième page du document " Règles de confidentialités ".
19. En troisième et dernier lieu, l'information transmise est elle-même parfois lacunaire ou insuffisamment précise, y compris dans les derniers niveaux d'information. Il résulte ainsi de l'instruction que le document relatif à la conservation des données édité par Google indique que certaines données pourront être conservées " pendant de longues périodes pour des raisons précises ", sans indiquer ni les finalités poursuivies ni les données concernées.
20. Dans ces conditions, l'arborescence choisie par Google apparaît de nature, par l'éparpillement de l'information qu'elle organise, à nuire à l'accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées. Il s'ensuit que c'est à bon droit que la formation restreinte de la CNIL, qui n'a pas, contrairement à ce qui est soutenu, exigé qu'une information exhaustive soit livrée dès le premier niveau d'information, a caractérisé une violation des obligations d'information et de transparence définies par les articles 12 et 13 du RGPD précités. Par ailleurs, la formation restreinte de la CNIL n'était pas tenue d'indiquer quelles seraient les mesures à prendre pour satisfaire aux exigences du RGPD.
Sur les manquements constatés aux règles relatives au consentement pour les traitements aux fins de personnalisation de la publicité :
21. En premier lieu, l'article 6 du RGPD dispose que : " Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : / a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ". Le 11 de l'article 4 du même règlement précise que le consentement s'entend comme " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement " Aux termes de l'article 7 du même règlement : " 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. / 2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples (...) ". Il résulte de ces dispositions telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.
22. Il résulte de l'instruction que, pour la création d'un compte Google nécessaire à l'utilisation du système d'exploitation Android, l'utilisateur se voit d'abord présenter les " Règles de confidentialité et conditions d'utilisation " qui l'informent succinctement et de façon très générale sur la nature des données traitées et les objectifs poursuivis par les traitements mis en oeuvre par Google. L'utilisateur peut alors cliquer sur un lien " plus d'options " ou cocher les cases " j'accepte les conditions d'utilisation de Google " et " j'accepte que mes informations soient utilisées tel que décrit ci-dessus et détaillé dans les règles de confidentialité " pour créer son compte. Si l'utilisateur clique sur le lien " plus d'options ", une page lui propose de paramétrer son compte. Au titre de la personnalisation des annonces, une case pré-cochée, qu'il peut décocher, indique qu'il consent à afficher des annonces personnalisées. Il lui est possible d'obtenir plus d'informations en cliquant sur un lien " en savoir plus ", lequel précise les modalités d'affichage des annonces personnalisées, sans toutefois que cette information soit exhaustive. En revanche, si l'utilisateur ne décide pas de cliquer sur le lien " plus d'options " sur la première page qui lui est présentée, une fenêtre intitulée " simple confirmation " apparaît et rappelle à l'utilisateur que le compte est configuré pour inclure des fonctionnalités de personnalisation " telles que les recommandations et les annonces personnalisées ". Cette page lui indique comment modifier ces paramètres. Il peut alors de nouveau accéder à la page " plus d'options " ou confirmer définitivement la création de son compte.
23. S'il résulte de l'architecture décrite au point précédent que l'utilisateur est toujours invité à signaler qu'il accepte que ses informations soient traitées conformément au paramétrage par défaut de son compte, c'est-à-dire en incluant des fonctions de personnalisation des annonces, l'information dont il dispose au regard de cette finalité est générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale, tant au premier niveau d'information que de la fenêtre intitulée " simple confirmation ". Il apparaît ainsi que l'information sur la portée du traitement aux fins de " ciblage publicitaire " fournie au premier niveau est, au regard des exigences de clarté et d'accessibilité rappelées ci-dessus, insuffisante. Faute d'information préalable suffisante, le consentement recueilli de manière globale pour l'ensemble des finalités, y compris celle-ci, ne peut être regardé comme éclairé ni, par voie de conséquence et en tout état de cause, comme valide. Si une information complémentaire sur la finalité de ciblage publicitaire est fournie au deuxième niveau (en cliquant sur " Plus d'options ") et qu'un consentement propre à cette finalité est alors recueilli, il apparaît que cette information est elle-même insuffisante eu égard à la portée du traitement. S'y ajoute enfin le fait que le consentement est recueilli au moyen d'une case précochée. Dans ces conditions, c'est à bon droit que la formation restreinte de la CNIL a considéré que les modalités du recueil du consentement ne répondent pas aux exigences du RGPD qui requièrent un acte positif clair, sans qu'ait d'incidence sur ce point la circonstance alléguée que ce règlement n'impose pas de recueillir le consentement de manière distincte pour la finalité de ciblage publicitaire. Par ailleurs, et contrairement à ce qui est soutenu, la formation restreinte n'était pas tenue de définir précisément les obligations pesant sur la société requérante en matière de consentement, lesquelles découlent directement du RGPD.
24. En second lieu, si la société requérante soutient que la CNIL aurait interprété l'exigence de consentement de manière incohérente par rapport à ses précédentes prises de position, elle ne peut utilement se prévaloir de ce que les modalités du recueil du consentement décrites au point 22 étaient conformes aux recommandations de la CNIL formulées par la délibération n° 2013-378 du 5 décembre 2013 relative aux cookies, laquelle était fondée sur la directive 95/46 qui n'était plus en vigueur à la date de la sanction attaquée, ni invoquer la délibération n° 2019-093 du 4 juillet 2019 qui laisse aux opérateurs, en matière de cookies et traceurs, une période d'adaptation de six mois durant laquelle la commission a annoncé que la poursuite de la navigation comme expression du consentement n'entrainerait pas la mise en mouvement de son pouvoir répressif. La requérante ne saurait davantage utilement se prévaloir de ce qu'un consentement " explicite " est requis pour autoriser le traitement de données dites sensibles visées à l'article 9 du RGPD pour en déduire qu'un tel consentement ne serait pas nécessaire pour les données non visées à cet article, dès lors que l'article 4 du règlement définit le consentement de la même manière quelle que soit la nature des données concernées.
Sur la motivation de la sanction infligée par la CNIL :
25. D'une part, le 2 de l'article 83 du RGPD dispose que : " Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : / a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
26. D'autre part, l'article L. 211-2 du code des relations entre le public et l'administration dispose que " doivent être motivées les décisions qui : (...) 2° Infligent une sanction " tandis qu'aux termes de l'article L. 211-5 du même code : " La motivation exigée par le présent chapitre doit être écrite et comporter l'énoncé des considérations de droit et de fait qui constituent le fondement de la décision ". Il résulte de ces dispositions que, dans l'hypothèse où la légalité d'une décision administrative repose sur la prise en compte d'un certain nombre de considérations, le respect de l'exigence de motivation qu'elles prévoient ne conduit son auteur à ne devoir énoncer que celles sur lesquelles se fonde la décision qu'il a prise. Il ne résulte en outre d'aucune disposition que la formation restreinte de la Commission nationale de l'informatique et des libertés devrait procéder à une explicitation du montant des sanctions qu'elle prononce. Il suit de là que les moyens tirés de l'insuffisance de motivation de la décision attaquée qui n'avait ni à se prononcer sur l'ensemble des critères prévus à l'article 83 du RGPD précité ni à indiquer les éléments chiffrés relatifs au mode de détermination du montant de la sanction infligée et de l'erreur de droit que révélerait cette insuffisance de motivation, doivent être écartés.
Sur le montant de la sanction infligée :
27. Il résulte de ce qui précède qu'eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l'article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50 000 000 d'euros prononcée à l'encontre de la société Google ne revêt pas un caractère disproportionné.
28. Il résulte de tout ce qui précède, sans qu'il soit besoin de poser des questions préjudicielles à la Cour de justice de l'Union européenne, que la requête de la société Google LLC doit être rejetée.
D E C I D E :
----------
Article 1er : L'intervention de l'UFC - Que choisir est admise.
Article 2 : La requête de la société Google LLC est rejetée.
Article 3 : La présente décision sera notifiée à la société Google LLC et à la Commission nationale de l'informatique et des libertés.
N° 430810
ECLI:FR:CECHR:2020:430810.20200619
Publié au recueil Lebon
10ème - 9ème chambres réunies
M. Réda Wadjinny-Green, rapporteur
M. Alexandre Lallet, rapporteur public
SCP SPINOSI, SUREAU ; SCP FOUSSARD, FROGER, avocats
Lecture du vendredi 19 juin 2020
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire, deux mémoires en réplique, des observations complémentaires et un nouveau mémoire, enregistrés les 16 mai, 1er août et 19 décembre 2019 et les 11 février, 18 mai et 10 juin 2020 au secrétariat du contentieux du Conseil d'Etat, la société Google LLC demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2019-001 du 21 janvier 2019 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une sanction pécuniaire d'un montant de 50 000 000 d'euros et décidé de de rendre publique sa délibération, qui sera anonymisée à l'expiration d'un délai de deux ans à compter de sa publication ;
2°) à titre subsidiaire, de poser les questions préjudicielles suivantes à la Cour de justice de l'Union européenne et de surseoir à statuer dans l'attente de la réponse de la Cour à ces questions :
" 1 - Un responsable du traitement constitué dans un pays tiers à l'Union européenne ayant plusieurs établissements dans l'Union européenne et un siège européen désigné sur le territoire d'un Etat membre peut-il avoir un " établissement principal " au sens de l'article 4(16) du RGPD dans cet État membre dans l'hypothèse où les décisions sur les finalités et les moyens du traitement sont prises dans ce pays tiers '
2 - Lorsqu'un responsable du traitement envisage un traitement ayant plusieurs finalités et cherche à obtenir le consentement de la personne concernée en application de l'article 6(1)(a) du RGPD pour l'ensemble de ces finalités, l'article 7(2) et le considérant 32 du RGPD imposent-ils au responsable du traitement de donner la possibilité à la personne concernée de détailler son consentement par finalité dès le premier niveau d'information, ou la personne concernée peut-elle donner son consentement par un acte positif clair et unique pour l'ensemble des finalités dans le premier niveau d'information tout en ayant accès, par le biais d'un lien ou de tout autre moyen, à la possibilité de détailler son consentement dans un second niveau d'information ' ".
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2005-1309 du 20 octobre 2005 ;
- l'arrêt de la Cour de justice de l'Union européenne C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband eV contre Planet49 GmbH du 1er octobre 2019 ;
- le code de justice administrative et l'ordonnance n° 2020-305 du 25 mars 2020 modifiée ;
Après avoir entendu en séance publique :
- le rapport de M. Réda Wadjinny-Green, auditeur
- les conclusions de M. Alexandre Lallet, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de la société Google LLC et à la SCP Foussard, Froger, avocat de l'association de l'Union fédérale des consommateurs - Que choisir ;
Vu la note en délibéré, enregistrée le 13 juin 2020, présentée par la société Google LLC ;
Considérant ce qui suit :
1. Il résulte de l'instruction que la Commission nationale de l'informatique et des libertés (CNIL) a été saisie les 25 et 28 mai 2018 de deux plaintes collectives déposées en application de l'article 80 du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit Règlement général sur la protection des données (RGPD), formées par les associations None of Your Business et La Quadrature du Net. Le 21 septembre suivant, la CNIL a diligenté un contrôle en ligne afin de vérifier la conformité des traitements opérés par la société Google LLC à partir des données personnelles des utilisateurs du système d'exploitation Android à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et au RGPD. A la suite de ce contrôle, la présidente de la CNIL a engagé une procédure de sanction. Par une délibération du 21 janvier 2019, dont la société Google LLC demande l'annulation, la formation restreinte de la CNIL a infligé à cette société une sanction pécuniaire de 50 000 000 d'euros à raison de manquements aux articles 6, 12 et 13 du RGPD et a décidé de rendre cette sanction publique pendant une durée de deux ans à compter de sa publication.
Sur l'intervention de l'UFC - Que choisir :
2. L'UFC - Que choisir justifie, eu égard à l'objet et à la nature du litige, d'un intérêt suffisant pour intervenir dans la présente instance au soutien des conclusions présentées par la Commission nationale de l'informatique et des libertés (CNIL), qui tendent au rejet de la requête. Son intervention est, par suite, recevable.
Sur la compétence de la CNIL :
3. L'article 55 du RGPD dispose que : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève " tandis qu'aux termes de l'article 56 du règlement : " 1. Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60. (...) 6. L'autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ". En vertu du 7) de l'article 4 de ce même règlement, la notion de " responsable de traitement " désigne " la personne physique ou morale (...) qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (...) " tandis qu'aux termes du 16 de ce même article celle " d'établissement principal " doit être entendue comme " a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal (...) ". Enfin, le 36ème considérant du règlement précise que : " L'établissement principal d'un responsable du traitement dans l'Union devrait être déterminé en fonction de critères objectifs et devrait supposer l'exercice effectif et réel d'activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement dans le cadre d'un dispositif stable (...) ".
4. Il résulte clairement des dispositions citées au point précédent que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union. Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en oeuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en oeuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.
5. La société Google LLC soutient que la CNIL n'était pas compétente pour engager la procédure de sanction mentionnée au point 1 et qu'elle était tenue de transmettre les plaintes qu'elle avait reçues à l'autorité de protection des données irlandaises, dès lors que la société Google Ireland Limited devait être considérée comme son établissement principal au sein de l'Union européenne. Elle se borne à indiquer notamment que son établissement irlandais constitue son " siège social " pour ses opérations européennes, qu'il dispose de moyens financiers et humains importants et assume, pour l'ensemble de l'Europe, la responsabilité de " nombreuses fonctions organisationnelles ", dont la consistance n'est pas précisée. Il est constant que le système d'exploitation Android était, à la date de la décision attaquée, exclusivement développé et exploité par la société Google LLC, implantée au Etats-Unis et responsable des traitements litigieux. D'une part, il ne résulte pas de l'instruction que la société Google Ireland exerçait, à cette date, un pouvoir de direction ou de contrôle sur les autres filiales européennes de la société Google LLC de nature à la regarder comme une administration centrale au sens du RGPD. D'autre part, il résulte de l'instruction que cet établissement, qui ne s'est en tout état de cause vu attribuer de nouvelles responsabilités s'agissant des traitements opérés par Google en Europe qu'à partir du 22 janvier 2019, soit postérieurement à la date de la sanction attaquée, ne disposait jusqu'à cette date d'aucun pouvoir décisionnel quant aux finalités et aux moyens des traitements litigieux, pas plus qu'aucun autre de ses établissements européens.
6. Il résulte de ce qui a été dit aux points 4 et 5 que la société Google Ireland Limited ne pouvait être regardée comme l'administration centrale du responsable des traitements litigieux et que la société Google LLC, qui seule déterminait leurs finalités et moyens, ne disposait pas, à la date de la sanction attaquée, d'établissement principal au sein de l'Union européenne, au sens et pour l'application du RGPD. Aucune autorité chef de file ne pouvant dès lors être désignée dans les conditions prévues à l'article 56 du RGPD, la CNIL était compétente pour instruire les plaintes des associations None of Your Business et La Quadrature du Net à raison des traitements des données personnelles des utilisateurs français du système d'exploitation Android opérés par la société Google LLC et infliger à cette dernière la sanction attaquée. La reconnaissance d'une telle compétence de la CNIL à l'égard des responsables de traitement de données des utilisateurs situés en France, dont les conditions de détermination ne méconnaissent en tout état de cause pas le principe de légalité des délits et des peines, ne saurait entraîner une violation du principe du non bis in idem.
Sur la régularité de la procédure :
7. En premier lieu, le comité européen de la protection des données (CEPD) émet un avis dans les hypothèses visées au paragraphe 1 de l'article 64 du RGPD, au nombre desquelles ne figurent pas les procédures de sanction, ou lorsqu'il est saisi à cet effet par une autorité de contrôle, le président du comité ou la Commission en vertu du deuxième paragraphe de ce même article. Le comité peut également prendre des décisions contraignantes dans les cas visés à l'article 65 du règlement, qui dispose notamment que : " 1. En vue d'assurer l'application correcte et cohérente du présent règlement dans les cas d'espèce, le comité adopte une décision contraignante dans les cas suivants : a) lorsque, dans le cas visé à l'article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l'égard d'un projet de décision de l'autorité de contrôle chef de file et que l'autorité de contrôle chef de file n'a pas donné suite à l'objection ou a rejeté cette objection au motif qu'elle n'est pas pertinente ou motivée (...) b) lorsqu'il existe des points de vue divergents quant à l'autorité de contrôle concernée qui est compétente pour l'établissement principal ; / c) lorsqu'une autorité de contrôle compétente ne demande pas l'avis du comité dans les cas visés à l'article 64, paragraphe 1, ou qu'elle ne suit pas l'avis du comité émis en vertu de l'article 64 ".
8. Il résulte de l'instruction que, le 1er juin 2018, la CNIL a soumis les plaintes dont elle était saisie à ses homologues européens via le système européen d'échange d'information en vue de la désignation d'une éventuelle autorité chef de file. Aucune autorité de contrôle européenne n'a alors décidé de saisir le comité européen de la protection des données ni fait part d'une appréciation divergente de celle de la CNIL quant à l'absence d'établissement principal de Google LLC en Europe. En outre, postérieurement à cette date, l'autorité de protection des données irlandaise a publiquement indiqué, par un droit de réponse exercé le 27 août 2018 dans le quotidien Irish Times, qu'elle n'était pas l'autorité chef de file de Google LLC dès lors que l'établissement irlandais de cette société ne disposait d'aucun pouvoir décisionnel quant aux traitements de données qu'elle opérait en Europe. En l'absence de point de vue divergent et dès lors que l'instruction de la plainte en litige ne relève d'aucun autre cas prévu par les articles 64 et 65 du RGPD, le moyen tiré de ce que l'absence de saisine du comité européen de la protection des données aurait entaché la procédure d'irrégularité ne peut qu'être écarté.
9. En second lieu, le mécanisme prévu aux articles 60 à 62 du RGPD, qui a pour objectif d'encourager la coopération entre les différentes autorités de contrôle européennes de protection des données et d'assurer une application cohérente du règlement dans l'ensemble de l'Union, ne s'applique qu'en cas de désignation d'une autorité chef de file ou d'opérations conjointes des autorités de contrôle. La procédure litigieuse ne relevant d'aucune de ces deux hypothèses, le moyen tiré de la méconnaissance par la CNIL de son devoir de coopération et d'assistance mutuelle, qui en tout état de cause ne saurait être utilement invoqué à l'appui d'un recours dirigé contre une sanction infligée par elle, ne peut qu'être écarté.
Sur la méconnaissance des droits de la défense :
10. En premier lieu, la société requérante soutient que le décret du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, sous l'empire duquel s'est déroulée la procédure litigieuse, méconnaît les droits de la défense et le droit au procès équitable garantis par l'article 16 de la Déclaration des droits de l'homme et du citoyen de 1789 et l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales dès lors, d'une part, que les délais de procédure qu'il prévoit sont trop brefs pour permettre au responsable de traitement de préparer utilement sa défense et, d'autre part, qu'aucune modulation de ce délai, notamment pour les responsables de traitement établis à l'étranger, n'est aménagée.
11. Aux termes de l'article 16 de la Déclaration des droits de l'homme et du citoyen de 1789 : " Toute société dans laquelle la garantie des droits n'est pas assurée, ni la séparation des pouvoirs déterminée, n'a point de Constitution ". Cette disposition implique notamment qu'aucune sanction ayant le caractère d'une punition ne puisse être infligée à une personne sans que celle-ci ait été mise à même de présenter ses observations sur les faits qui lui sont reprochés. S'agissant des mesures à caractère de sanction, le respect du principe général des droits de la défense suppose que la personne concernée soit informée, avec une précision suffisante et dans un délai raisonnable avant le prononcé de la sanction, des griefs formulés à son encontre et puisse avoir accès aux pièces au vu desquelles les manquements ont été retenus, à tout le moins lorsqu'elle en fait la demande.
12. L'article 74 du décret du 20 octobre 2005, alors en vigueur, dispose que : " Lorsqu'une sanction est susceptible d'être prononcée, le président de la commission désigne un rapporteur n'appartenant pas à la formation restreinte et en informe le responsable de traitement ou le sous-traitant mis en cause. / Le rapporteur procède à toutes diligences utiles avec le concours des services de la commission. Le responsable du traitement ou le sous-traitant peut être entendu si le rapporteur l'estime utile (...) ". Aux termes de l'article 75 de ce même décret : " Le rapport prévu par l'article 47 de la loi du 6 janvier 1978 susvisée est notifié au responsable du traitement ou au sous-traitant par tout moyen permettant à la commission d'apporter la preuve de la date de cette notification. Il est également transmis à la formation restreinte. / Le responsable du traitement ou le sous-traitant dispose d'un délai d'un mois pour transmettre au rapporteur et à la formation restreinte ses observations écrites. La notification du rapport mentionne ce délai et précise que le responsable du traitement peut prendre connaissance et copie des pièces du dossier auprès des services de la commission et se faire assister ou représenter par tout conseil de son choix. / Le rapporteur peut répondre au responsable du traitement ou au sous-traitant dans les quinze jours suivant la réception des observations du mis en cause. Le responsable du traitement ou le sous-traitant dispose d'un nouveau délai de quinze jours pour, le cas échéant, produire des observations écrites. (...) Le responsable du traitement ou le sous-traitant est informé que passés les délais mentionnés aux alinéas précédents, sauf report de la clôture de l'instruction, l'instruction est close et ses observations écrites seront déclarées irrecevables par la formation restreinte. / A tout moment, le rapporteur peut décider de modifier son rapport, notamment, au vu d'éléments portés à sa connaissance par le responsable du traitement ou le sous-traitant. Il est alors fait application de la procédure prévue aux alinéas précédents. Si la modification intervient après la clôture de l'instruction, l'instruction est rouverte ". L'article 76 du décret prévoit enfin que : " Le responsable du traitement ou le sous-traitant est informé de la date de la séance de la formation restreinte au cours de laquelle est inscrite l'affaire le concernant et de la faculté qui lui est offerte d'y être entendu, lui-même ou son représentant, par tout moyen permettant d'attester la date de sa notification. Cette information doit lui parvenir au moins un mois avant la date de la séance au cours de laquelle l'affaire est examinée. En cas de réexamen ou de report de l'affaire lors d'une séance ultérieure, ce délai minimal peut être ramené à sept jours ".
13. D'une part, il résulte de ces dispositions que le responsable de traitement à qui est notifié un rapport proposant une sanction à son égard dispose d'un délai d'un mois pour transmettre ses observations à la formation restreinte et au rapporteur, puis d'un délai de quinze jours en réplique pour répondre aux nouvelles observations du rapporteur, le cas échéant. A l'issue de ce dernier délai, l'instruction est en principe close. Une date d'audience est par ailleurs fixée, au cours de laquelle le responsable du traitement peut présenter des observations orales. Le responsable est informé de cette date au moins un mois avant la tenue de l'audience. Il ressort en outre des dispositions des articles 75 et 76 précités que le président de la formation restreinte peut, selon les circonstances de l'affaire, reporter tant la date de clôture de l'instruction que la date de l'audience afin de permettre au responsable de traitement de préparer sa défense. D'autre part, aucune règle ni aucun principe n'impose l'institution, en matière de procédure administrative de sanction, d'un délai de distance, applicable aux requérants domiciliés hors de la France métropolitaine. Dans ces conditions, l'exception d'illégalité des articles 75 et 76 du décret du 20 octobre 2005 doit être écartée.
14. En second lieu, il est soutenu qu'en l'espèce, la procédure suivie a méconnu les droits de la défense, la société Google n'ayant pas été mise à même de faire valoir utilement ses observations. Il résulte de l'instruction que la société requérante a d'abord disposé d'un délai d'un mois pour répondre au rapport du rapporteur. Elle a ensuite disposé d'un second délai d'un mois pour réagir à la réplique du rapporteur, le président de la formation restreinte lui ayant accordé une extension du délai de quinze jours, si bien que la clôture de l'instruction n'a été prononcée qu'au terme d'un délai de deux mois et quinze jours à compter de la transmission du rapport précité. Si, à deux reprises au cours de la procédure, la société requérante a demandé l'organisation d'une audition, d'abord auprès de la Commission, puis du rapporteur, sur le fondement de l'article 74 du décret du 20 octobre 2005, et que ces demandes ont été rejetées les 11 octobre et 13 novembre 2018, il résulte de l'instruction que la séance de la formation restreinte, initialement prévue le 10 janvier 2019, a été reportée, à la demande de la requérante, au 15 janvier et que celle-ci a pu y présenter des observations orales. Dans ces conditions, la société a été mise à même de préparer et de présenter utilement sa défense. Le moyen tiré de la méconnaissance des droits de la défense doit donc être écarté, sans qu'aient d'incidence sur ce point la circonstance que la plus grande part des pièces de la procédure était rédigée en langue française ni l'absence de mise en demeure préalable.
Sur les manquements constatés aux obligations d'information et de transparence :
15. Le 1 de l'article 12 du RGPD dispose que : " Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique (...) ". L'article 13 de ce même règlement précise les informations qui doivent obligatoirement être fournies aux utilisateurs. Il résulte clairement de ces dispositions que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles.
16. La société Google LLC soutient que l'architecture qu'elle a retenue vise à informer les utilisateurs de façon claire et intelligible à partir d'une approche à plusieurs niveaux, conformément aux recommandations du comité européen de la protection des données. Le premier niveau, composé des " Règles de confidentialité et conditions d'utilisation " présente la portée et les principales finalités du traitement, tandis que plusieurs liens hypertextes - " conditions d'utilisation " ; " règles de confidentialité " ; " plus d'options " ; " règlement " ; " en savoir plus " - permettent aux utilisateurs d'accéder à une information plus exhaustive. Enfin et postérieurement à la création d'un compte, d'autres outils sont mis à la disposition de l'utilisateur pour gérer ses paramètres de confidentialité, à l'image du " check-up confidentialité " et de l'outil " dashboard ".
17. En premier lieu, le premier niveau d'information proposé aux utilisateurs apparaît excessivement général eu égard à l'ampleur des traitements opérés par la société, au degré d'intrusion dans la vie privée qu'ils impliquent et au volume et à la nature des données collectées.
18. En deuxième lieu, il résulte de l'instruction que les informations essentielles relatives à certains traitements ne sont accessibles qu'à la suite de nombreuses actions, ou qu'elles ne le sont qu'à partir de liens hypertextes eux-mêmes difficilement accessibles. Pour obtenir l'ensemble des informations pertinentes relatives au traitement personnalisé des annonces, un utilisateur doit d'abord effectuer trois actions à partir du premier niveau d'information, avant de revenir au document initial et d'effectuer deux nouvelles actions, soit un total de cinq actions, tandis que six actions sont nécessaires pour obtenir une information exhaustive quant à la géolocalisation. Les informations relatives à la durée de conservation des données, qui doivent être obligatoirement fournies en vertu du a) du 2° de l'article 13 du RGPD, ne sont accessibles qu'à partir d'un lien hypertexte disponible à la soixante-huitième page du document " Règles de confidentialités ".
19. En troisième et dernier lieu, l'information transmise est elle-même parfois lacunaire ou insuffisamment précise, y compris dans les derniers niveaux d'information. Il résulte ainsi de l'instruction que le document relatif à la conservation des données édité par Google indique que certaines données pourront être conservées " pendant de longues périodes pour des raisons précises ", sans indiquer ni les finalités poursuivies ni les données concernées.
20. Dans ces conditions, l'arborescence choisie par Google apparaît de nature, par l'éparpillement de l'information qu'elle organise, à nuire à l'accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées. Il s'ensuit que c'est à bon droit que la formation restreinte de la CNIL, qui n'a pas, contrairement à ce qui est soutenu, exigé qu'une information exhaustive soit livrée dès le premier niveau d'information, a caractérisé une violation des obligations d'information et de transparence définies par les articles 12 et 13 du RGPD précités. Par ailleurs, la formation restreinte de la CNIL n'était pas tenue d'indiquer quelles seraient les mesures à prendre pour satisfaire aux exigences du RGPD.
Sur les manquements constatés aux règles relatives au consentement pour les traitements aux fins de personnalisation de la publicité :
21. En premier lieu, l'article 6 du RGPD dispose que : " Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : / a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ". Le 11 de l'article 4 du même règlement précise que le consentement s'entend comme " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement " Aux termes de l'article 7 du même règlement : " 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. / 2. Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples (...) ". Il résulte de ces dispositions telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.
22. Il résulte de l'instruction que, pour la création d'un compte Google nécessaire à l'utilisation du système d'exploitation Android, l'utilisateur se voit d'abord présenter les " Règles de confidentialité et conditions d'utilisation " qui l'informent succinctement et de façon très générale sur la nature des données traitées et les objectifs poursuivis par les traitements mis en oeuvre par Google. L'utilisateur peut alors cliquer sur un lien " plus d'options " ou cocher les cases " j'accepte les conditions d'utilisation de Google " et " j'accepte que mes informations soient utilisées tel que décrit ci-dessus et détaillé dans les règles de confidentialité " pour créer son compte. Si l'utilisateur clique sur le lien " plus d'options ", une page lui propose de paramétrer son compte. Au titre de la personnalisation des annonces, une case pré-cochée, qu'il peut décocher, indique qu'il consent à afficher des annonces personnalisées. Il lui est possible d'obtenir plus d'informations en cliquant sur un lien " en savoir plus ", lequel précise les modalités d'affichage des annonces personnalisées, sans toutefois que cette information soit exhaustive. En revanche, si l'utilisateur ne décide pas de cliquer sur le lien " plus d'options " sur la première page qui lui est présentée, une fenêtre intitulée " simple confirmation " apparaît et rappelle à l'utilisateur que le compte est configuré pour inclure des fonctionnalités de personnalisation " telles que les recommandations et les annonces personnalisées ". Cette page lui indique comment modifier ces paramètres. Il peut alors de nouveau accéder à la page " plus d'options " ou confirmer définitivement la création de son compte.
23. S'il résulte de l'architecture décrite au point précédent que l'utilisateur est toujours invité à signaler qu'il accepte que ses informations soient traitées conformément au paramétrage par défaut de son compte, c'est-à-dire en incluant des fonctions de personnalisation des annonces, l'information dont il dispose au regard de cette finalité est générale et diluée au milieu de finalités ne retenant pas nécessairement le consentement comme base légale, tant au premier niveau d'information que de la fenêtre intitulée " simple confirmation ". Il apparaît ainsi que l'information sur la portée du traitement aux fins de " ciblage publicitaire " fournie au premier niveau est, au regard des exigences de clarté et d'accessibilité rappelées ci-dessus, insuffisante. Faute d'information préalable suffisante, le consentement recueilli de manière globale pour l'ensemble des finalités, y compris celle-ci, ne peut être regardé comme éclairé ni, par voie de conséquence et en tout état de cause, comme valide. Si une information complémentaire sur la finalité de ciblage publicitaire est fournie au deuxième niveau (en cliquant sur " Plus d'options ") et qu'un consentement propre à cette finalité est alors recueilli, il apparaît que cette information est elle-même insuffisante eu égard à la portée du traitement. S'y ajoute enfin le fait que le consentement est recueilli au moyen d'une case précochée. Dans ces conditions, c'est à bon droit que la formation restreinte de la CNIL a considéré que les modalités du recueil du consentement ne répondent pas aux exigences du RGPD qui requièrent un acte positif clair, sans qu'ait d'incidence sur ce point la circonstance alléguée que ce règlement n'impose pas de recueillir le consentement de manière distincte pour la finalité de ciblage publicitaire. Par ailleurs, et contrairement à ce qui est soutenu, la formation restreinte n'était pas tenue de définir précisément les obligations pesant sur la société requérante en matière de consentement, lesquelles découlent directement du RGPD.
24. En second lieu, si la société requérante soutient que la CNIL aurait interprété l'exigence de consentement de manière incohérente par rapport à ses précédentes prises de position, elle ne peut utilement se prévaloir de ce que les modalités du recueil du consentement décrites au point 22 étaient conformes aux recommandations de la CNIL formulées par la délibération n° 2013-378 du 5 décembre 2013 relative aux cookies, laquelle était fondée sur la directive 95/46 qui n'était plus en vigueur à la date de la sanction attaquée, ni invoquer la délibération n° 2019-093 du 4 juillet 2019 qui laisse aux opérateurs, en matière de cookies et traceurs, une période d'adaptation de six mois durant laquelle la commission a annoncé que la poursuite de la navigation comme expression du consentement n'entrainerait pas la mise en mouvement de son pouvoir répressif. La requérante ne saurait davantage utilement se prévaloir de ce qu'un consentement " explicite " est requis pour autoriser le traitement de données dites sensibles visées à l'article 9 du RGPD pour en déduire qu'un tel consentement ne serait pas nécessaire pour les données non visées à cet article, dès lors que l'article 4 du règlement définit le consentement de la même manière quelle que soit la nature des données concernées.
Sur la motivation de la sanction infligée par la CNIL :
25. D'une part, le 2 de l'article 83 du RGPD dispose que : " Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : / a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
26. D'autre part, l'article L. 211-2 du code des relations entre le public et l'administration dispose que " doivent être motivées les décisions qui : (...) 2° Infligent une sanction " tandis qu'aux termes de l'article L. 211-5 du même code : " La motivation exigée par le présent chapitre doit être écrite et comporter l'énoncé des considérations de droit et de fait qui constituent le fondement de la décision ". Il résulte de ces dispositions que, dans l'hypothèse où la légalité d'une décision administrative repose sur la prise en compte d'un certain nombre de considérations, le respect de l'exigence de motivation qu'elles prévoient ne conduit son auteur à ne devoir énoncer que celles sur lesquelles se fonde la décision qu'il a prise. Il ne résulte en outre d'aucune disposition que la formation restreinte de la Commission nationale de l'informatique et des libertés devrait procéder à une explicitation du montant des sanctions qu'elle prononce. Il suit de là que les moyens tirés de l'insuffisance de motivation de la décision attaquée qui n'avait ni à se prononcer sur l'ensemble des critères prévus à l'article 83 du RGPD précité ni à indiquer les éléments chiffrés relatifs au mode de détermination du montant de la sanction infligée et de l'erreur de droit que révélerait cette insuffisance de motivation, doivent être écartés.
Sur le montant de la sanction infligée :
27. Il résulte de ce qui précède qu'eu égard à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs, au caractère continu de ces manquements et à la durée de la période durant laquelle ils ont perduré, aux plafonds prévus par le 4 de l'article 83 du RGPD, et à la situation financière de la société, la sanction pécuniaire de 50 000 000 d'euros prononcée à l'encontre de la société Google ne revêt pas un caractère disproportionné.
28. Il résulte de tout ce qui précède, sans qu'il soit besoin de poser des questions préjudicielles à la Cour de justice de l'Union européenne, que la requête de la société Google LLC doit être rejetée.
D E C I D E :
----------
Article 1er : L'intervention de l'UFC - Que choisir est admise.
Article 2 : La requête de la société Google LLC est rejetée.
Article 3 : La présente décision sera notifiée à la société Google LLC et à la Commission nationale de l'informatique et des libertés.