Dans une décision du 27 juin 2022 impliquant la plateforme Amazon, le Conseil d’Etat vient à nouveau de conforter la CNIL dans sa compétence de contrôle des cookies, sur le fondement de la directive ePrivacy de 2002. La position n’est pas nouvelle, pour l’avoir déjà formulée, dans une affaire impliquant Google, dans une décision du 28 janvier 2022 (n° 449209).
La société Amazon commercialisait des outils publicitaires fonctionnant grâce aux données collectées par des traceurs de connexion déposés sur les terminaux des utilisateurs du site amazon.fr en France. Une plainte a été portée devant la CNIL pour non-respect des obligations du RGPD, notamment s’agissant de la base de licéité du traitement. Dans ce cadre, la CNIL avait saisi l’autorité de contrôle luxembourgeoise en application du mécanisme de « guichet unique ».
La CNIL avait en outre constaté des manquements à l’article 82 de la loi « Informatique et libertés » (dite LIL), du 6 janvier 1978. Cet article impose que tout abonné ou utilisateur d’un service de communications électroniques soit informé de manière claire et complète, par le responsable du traitement ou son représentant :
« 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »
La CNIL a donc adopté le 7 décembre 2020 une délibération infligeant à Amazon une amende administrative. La plateforme a alors contesté la décision, précisément la compétence de la CNIL, et saisi donc le CE, lequel a confirmé la sanction.
Dans cette décision, le Conseil d’Etat confirme donc la compétence de la CNIL en matière de cookies et ce, indépendamment du mécanisme de « guichet unique ».
Rappelant notamment l’arrêt de la CJUE du 5 juin 2018 (aff. C-210/16), il énonce clairement « qu’un traitement de données personnelles peut être regardé comme effectué “dans le cadre des activités” d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un Etat membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site ». En outre, en visant au I de l’article 3 de la LIL « l’ensemble des traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France », le législateur a entendu soumettre l’ensemble des manquements, dont l’article 82, à la compétence de la CNIL.
Sur le fond, le CE confirme les violations de l’article 82 : le dépôt de cookies sans consentement préalable et l’information défaillante des utilisateurs. D’un point de vue procédural, il rappelle la compétence de la CNIL à prendre des sanctions sur les cookies en dehors du mécanisme de guichet unique prévu par le RGPD.27
