Sanctionnées le 7 octobre 2020 par la formation restreinte de la CNIL, respectivement à hauteur de 60 et 40 millions d’euros, les sociétés Google LLC et Google Ireland Ltd demandaient à la plus haute juridiction administrative française l’annulation pure et simple de la délibération de la Commission. Dépôt de cookies publicitaires sans consentement des internautes, manque d’information et mécanisme d’opposition défaillant, la CNIL avait relevé plusieurs manquements graves à l’article 82 de la loi informatique et libertés lors de ses contrôles en ligne. Google décidait par la suite de saisir le Conseil d’Etat, contestant à la fois la proportionnalité de l’amende et la compétence de la formation restreinte. A noter, la décision du Conseil d’Etat affecte également la récente amende de 150 millions d’euros infligée au géant américain.
Google avançait devant le juge administratif le principe du guichet unique européen, système issu du règlement général sur la protection des données permettant de désigner une autorité dite « chef de file » de l’établissement principal du responsable de traitement, seule compétente pour connaitre des manquements répartis dans l’Union. En effet, si la CNIL fonde son pouvoir de sanction sur l’article 82 de la loi informatique et libertés, ayant transposé la directive « eprivacy », sa définition du consentement découle du Règlement entré en application en 2018. Ainsi, Google aurait souhaité être placé en ce qui concerne ses manquements à la directive, sous la responsabilité exclusive du « Data protection Commissionner » Irlandais.
Néanmoins, le Conseil d’Etat relève qu’il « n’a pas été prévu », notamment au regard de la jurisprudence de la CJUE, que les dispositions de l’article 56 du RGPD sur le principe du guichet unique s’appliquent aux opérations de lecture et d’écriture englobées par la directive eprivacy. A cet égard, le Conseil d’Etat en conclut que la CNIL est bien compétente et qu’il n’y a pas lieu de transmettre une question préjudicielle portant sur l’interprétation de la directive précitée à la Cour de justice.
Alors que Google soulevait les principes de légalité des délits et des peines, de sécurité juridique ainsi que de confiance légitime, avançant à cette fin l’idée que le régime français n’était pas suffisamment consolidé au moment du prononcé de la sanction, le Conseil d’Etat rejette cet argument. En effet, bien que les lignes directrices et recommandations de la CNIL ont été modifiées à l’été 2020, cette modification n’était pas substantielle, de sorte qu’elle n’impactait pas la prévisibilité de la sanction prononcée.
Par ailleurs, le Conseil d’Etat, qui mobilise alors à la fois l’article 20 de la loi informatique et libertés et l’article 83 du RGPD, rappelle que les amendes décidées par les autorités de contrôle doivent être « effectives, proportionnées et dissuasives ». Le juge administratif relève que la CNIL a bien tenu compte de la part de marché détenue par le moteur de recherche de Google (90%) et de son nombre d’utilisateurs en France (47 millions) ainsi que des bénéfices « particulièrement importants » générés par la publicité ciblée. En conséquence, ni le montant de l’amende, ni l’astreinte ou la mesure de publicité décidées n’étaient disproportionnées.