Intervention de Gwendal Le Grand

Fin décembre 2020, la formation restreinte de la CNIL a prononcé une sanction de 100 millions d'euros à l'encontre de Google LLC, Google Irlande et Amazon pour l'utilisation de cookies sur la base d'une législation largement appliquée. Cette directive de 2002 avait été révisée en 2009, puis en 2018 sous l'effet de la mise en application du RGPD. Cette législation n'est donc pas ancienne. Un accord a même été conclu récemment au Conseil pour qu'elle devienne un Règlement européen.

Cette directive traite notamment du stockage de cookies sur le terminal d'un utilisateur. Ce stockage doit faire l'objet d'une information et d'un consentement préalable. Cette directive est transposée en droit national dans tous les états membres. En France, la CNIL est chargée de contrôler l'application de cette règle et de sanctionner les éventuels manquements. Beaucoup d'actions ont d'ailleurs été engagées par la CNIL pour clarifier les règles en matière de dépôt de cookies. Des lignes directrices, qui ont d'ailleurs été attaquées devant le Conseil d'État, et une recommandation ont été édictées. Les entreprises ont jusqu'à la fin du mois de mars 2021 pour se mettre en conformité.

La décision a été attaquée en référé par Google devant le Conseil d'État. Dans l'ordonnance du 4 mars 2021, le juge a rejeté la demande de suspension de l'exécution formulée par les sociétés Google LLC et Google Irlande d'une injonction prononcée par la formation restreinte des CNIL dans sa décision de décembre 2020.

Dans sa décision de référé, le Conseil d'Etat a confirmé que le mécanisme du guichet unique, institué par le RGPD, n'est pas applicable en matière de dépôt de cookies, dans la mesure où les règles qui le régissent sont prévues par la directive ePrivacy. L'autorité de protection des données nationales n'est, en effet, pas toujours compétente pour faire appliquer l' ePrivacy. L'autorité compétente peut être l'équivalent de l'ARCEP dans les autres pays européens. Il n'existe pas de coordination européenne dans les textes actuels. Seule une autorité nationale est compétente pour vérifier le respect de cette directive.

S'agissant de l'Irlande, l'organisme de régulation est face à un enjeu de crédibilité du modèle. Un certain nombre de décisions a déjà été pris pour activer tous les échelons du RGPD. Certains observateurs estiment que nous n'aboutissons pas suffisamment rapidement sur des projets de décisions irlandaises portant sur les acteurs majeurs de l'écosystème numérique. Certains estiment qu'il convient de changer les règles de gouvernance du RGPD.

Quant à elles, les autorités européennes pensent que le RGPD est un texte solide, qui mérite d'être conservé et accompagné dans son application, en renforçant la coopération entre les autorités et en leur donnant davantage de moyens. Si certains droits nationaux rendent difficile l'aboutissement à des décisions nationales, il appartient à la Commission européenne d'intervenir.

En tout état de cause, la CNIL souhaite renforcer l'efficacité de la coopération européenne en continuant à s'appuyer sur le RGPD, qui constitue une force de l'Europe dans toutes les négociations au niveau international. La CNIL contribue au renforcement de la coopération en utilisant tous les outils à sa disposition, comme les lignes directrices du CEPD sur la coopération européenne, qui clarifient les procédures, le RGPD ou les demandes d'assistance. En dernier recours, elle a la possibilité d'adopter des mesures d'urgence en cas d'atteinte grave au droit des personnes.