immeuble Franklin

La sanction de la CNIL à l’encontre de Google (Troisième partie)

3ème partie : Analyse des passages de la délibération sur les qualifications juridique de responsable de traitement, de responsable conjoint et de sous-traitant.

Par la délibération SAN-2020-012 du 7 décembre 2020, la CNIL a prononcé une sanction financière de :

  • 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED
  • 60 millions d’euros à l’encontre de GOOGLE LLC

Et a prononcé les injonctions suivantes :

  • informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site google.fr :
    • des finalités de tous les cookies soumis au consentement
    • des moyens dont elles disposent pour les refuser

Cette injonction étant assortie d’une astreinte de 100 000 € par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération.

La notion de responsables conjoints de traitement est une notion peu familière en France puisqu’elle ne figurait pas dans l’ancienne version de la loi informatique et libertés, alors qu’elle figurait déjà dans la Directive 95/46.

La formation restreinte indique dans sa décision que la qualification juridique des parties dans un contrat n’est pas opposable à la CNIL : si la qualification juridique dans le contrat est inexacte, la CNIL procèdera à une requalification.

Dans ce cas GOOGLE LLC (société américaine) s’était qualifiée de sous-traitant, mais la formation restreinte de la CNIL a pu déterminer – sans grande difficulté – qu’elle agissait en réalité en qualité de responsable conjoint de traitement avec Google Irlande.

 

Sur la détermination du responsable de traitement

Ce que prévoit la loi Le responsable de traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.

Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement.

L’argumentaire de GOOGLE
  • GOOGLE Irlande serait seule responsable de traitement de la plupart des services et produits Google traitant les données à caractère personnel des utilisateurs résidant dans l’EEE et en Suisse, dont les cookies,
  • tandis que la société GOOGLE LLC ne serait que sous-traitant de GOOGLE Irlande
  • GOOGLE Irlande participe aux différentes étapes et instances du processus décisionnel mis en place par le groupe pour définir les caractéristiques des cookies déposés sur Google Search
  • GOOGLE Irlande est autonome car il existe une série de différences concernant spécifiquement les cookies déposés sur les terminaux des utilisateurs européens de Google Search (durées de conservation différentes, respect des obligations relatives aux mineurs au sens du RGPD, etc.)
La position de la formation restreinte
  • Les définitions de responsable de traitement et de responsables conjoints de traitement RGPD[1] sont applicables à la présente procédure en raison du recours à la notion de responsable de traitement dans l’article de la loi I&L sur les cookies[2]
  • la CJUE s’est prononcée, à plusieurs reprises, sur la notion de responsabilité conjointe du traitement[3]
  • Cette notion ne renvoie pas nécessairement à une personne physique ou morale unique et peut concerner plusieurs acteurs participant à ce traitement
  • L’objectif de cette disposition étant d’assurer, par une définition large de la notion de responsable, une protection efficace et complète des personnes concernées
  • l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents acteurs, pour un même traitement de données à caractère personnel
  • au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce[4]

La formation restreinte considère donc que ces développements permettent d’éclairer utilement la notion de responsabilité de traitement conjointe invoquée par le rapporteur à l’égard des sociétés GOOGLE LLC et GOOGLE Irlande concernées par le traitement en cause

 

Sur la responsabilité de la société GOOGLE IRLANDE

L’argumentaire de GOOGLE La société GOOGLE Irlande agit en qualité de responsable du traitement en cause, ce que reconnaît également le rapporteur
La position de la formation restreinte
  • pendant l’audition du 22 juillet 2020, les représentants des sociétés ont déclaré qu’en application du principe du Privacy by Design, la société GOOGLE Irlande participe :
    • au développement et à la supervision des politiques internes qui guident les produits et leur conception,
    • à la mise en place des paramètres,
    • à la détermination des règles de confidentialité et
    • à toutes les vérifications réalisées avant le lancement des produits
  • s’agissant plus particulièrement des cookies, les représentants ont déclaré lors de l’audition que GOOGLE Irlande applique, par exemple :
    • des durées de conservation des cookies plus courtes par rapport à d’autres régions du monde et
    • qu’elle limite l’étendue des traitements liés à la personnalisation de la publicité en Europe par rapport au reste du monde
    • Par exemple, GOOGLE Irlande :
      • n’utilise pas certaines catégories de données pour effectuer de la publicité personnalisée telles que les ressources du foyer supposées
      • ne met pas en place de publicité personnalisée pour les enfants dont elle suppose qu’ils sont mineurs au sens du RGPD

La société GOOGLE Irlande est, au moins pour partie, responsable du traitement contrôlé consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search.

 

Sur la responsabilité de la société GOOGLE LLC

L’argumentaire de GOOGLE GOOGLE conteste l’analyse du rapporteur selon laquelle la société GOOGLE LLC partagerait la responsabilité du traitement en cause avec la société GOOGLE Irlande
La position de la formation restreinte
  • lors de l’audition du 22 juillet 2020, les sociétés ont affirmé que :
    • c’est bien la société GOOGLE LLC qui conçoit et construit la technologie des produits Google et
    • en ce qui concerne les cookies déposés et lus lors de l’utilisation du moteur de recherche Google Search, il n’existe aucune différence de technologies entre les cookies déposés à partir des différentes versions du moteur de recherche
    • l’information des utilisateurs français n’opère aucune distinction dans leur présentation des cookies utilisés par le groupe GOOGLE dès lors qu’elles indiquent utiliser différents types de cookies pour les produits associés aux annonces et les sites Web de Google
  • malgré la participation non contestable de la société GOOGLE Irlande aux différentes étapes et instances liées à la définition des modalités de mise en œuvre des cookies déposés sur Google Search :
    • l’organisation matricielle décrite par les sociétés lors de l’audition du 22 juillet 2020 a mis en évidence que la société GOOGLE LLC est également :
      • représentée dans les organes adoptant les décisions relatives au déploiement des produits au sein de l’EEE et en Suisse et aux traitements de données à caractère personnel des utilisateurs y résidant et
      • qu’elle y exerce une influence significative
      • le délégué à la protection des données désigné par la société GOOGLE Irlande (ci-après DPO) ainsi que ses DPO adjoints sont basés en Californie en qualité d’employés de la société GOOGLE LLC
  • les différences que les sociétés mettent en avant entre les cookies destinés aux utilisateurs européens et ceux destinés à d’autres utilisateurs (durées de conservation différentes, respect des obligations relatives aux mineurs au sens du RGPD, etc.) ne sont que des différences d’exécution qui ne remettent pas en cause la finalité publicitaire globale pour laquelle ils sont exploités, cette finalité étant déterminée notamment par la société GOOGLE LLC :
    • Bien que ces différences aient principalement pour objet d’assurer la conformité au droit européen des cookies destinés aux utilisateurs européens, elles n’illustrent pas, en tant que telles, une autonomie décisionnelle de la société GOOGLE Irlande sur l’ensemble des caractéristiques essentielles des moyens et finalités du traitement en cause
    • bien qu’en vertu d’une lecture formelle du contrat de sous-traitance du 11 décembre 2018 :
      • GOOGLE LLC agirait en qualité de sous-traitant de la société GOOGLE Irlande dans le traitement des données des utilisateurs européens recueillies via les cookies,
      • l’implication réelle de la société GOOGLE LLC va bien au-delà de celle d’un sous-traitant qui se contenterait de procéder à des opérations de traitement pour le compte de la société GOOGLE Irlande et sur ses seules instructions

EN CONCLUSION :

Les informations communiquées lors de l’instruction mettent en évidence que, malgré la prise d’effet du contrat de sous-traitance le 22 janvier 2019, la société GOOGLE LLC :

  • continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause :
    • elle détermine également les moyens du traitement étant donné que c’est elle qui conçoit et construit la technologie des cookies déposés sur les terminaux des utilisateurs européens
  • dès lors, la formation restreinte retient qu’il convient de lui attribuer également la qualité de responsable du traitement.

Il résulte de l’ensemble de ce qui précède que les sociétés GOOGLE LLC et GOOGLE Irlande déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search.

[1] Articles 4, paragraphe 7, et 26, paragraphe 1

[2] Article 82

[3] Arrêt Témoins de Jéhovah aux termes duquel elle a considéré que selon les dispositions de l’article 2, sous d), de la directive 95/46 sur la protection des données personnelles, la notion de responsable du traitement vise la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel

[4] CJUE, 10 juillet 2018, C‑25/17, pts. 65 et 66