Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Google LLC och Google Ireland Limited böter på 90 miljoner euro respektive 60 miljoner euro för att ha underlåtit att göra det lika enkelt att vägra samtycke till användningen av cookies som att acceptera detsamma på google.fr och youtube.com. Beslutet kom efter en online-granskning som CNIL genomfört som en del av myndighetens mer omfattande pågående kampanj för att kontrollera efterlevnaden av sina riktlinjer och rekommendationer om cookies (läs mer om detta här).
Av beslutet framgår att CNIL efter en kontroll som utförts på webbplatserna google.fr och youtube.com gjort olika iakttagelser om cookie-banners, sekretesspolicyer och användarvillkor för webbplatserna i fråga, vilka CNIL skickade vidare till Google i form av en rapport där myndigheten begärde ytterligare information om var och en av de cookies som nämndes i nämnda rapport, deras ändamål och antalet dagliga unika besökare på varje webbplats under de senaste tolv månaderna från Frankrike.
Enligt CNIL innehöll bannern som visats på webbplatserna google.fr och youtube.com en knapp som gjort det möjligt att omedelbart acceptera cookies, men användaren erbjöds inte några liknande medel för att lika enkelt kunna vägra behandling av sådana cookies. CNIL konstaterade dessutom att för att vägra cookies var användaren tvungen utföra minst fem åtgärder (först klicka på knappen “anpassa”, sedan klicka på var och en av de tre knapparna för att välja “inaktiverad” där varje knapp motsvarar “personalisering av sökningen”, “YouTube-historik” och “personalisering av annonser”, och slutligen ett klick på “bekräfta”), i stället för en enda åtgärd för att acceptera dem.
CNIL betonade den princip som fastställts i myndighetens rekommendationer och riktlinjer för cookies, att personuppgiftsansvariga måste erbjuda användarna både möjligheten att acceptera och vägra cookies och andra spårare med samma grad av enkelhet, och ansåg att en sådan vägringsmekanism inte erbjuder samma grad av enkelhet som mekanismen för att uttrycka samtycke, varför den därför inte uppfyller reglerna om ett frivilligt samtycke. CNIL ansåg därför att det faktum att mekanismen för att vägra cookies är mer komplicerad än mekanismen för att acceptera dem i själva verket innebär att man avskräcker användarna från att vägra cookies och uppmuntrar dem att föredra knappen “Jag accepterar”. CNIL ansåg därför att de metoder för att vägra kakor som Google tillämpat strider mot gällande dataskyddskrav.
När det gäller ansvaret för den olagliga behandlingen i fråga identifierade CNIL Google Ireland Limited, som Google självt identifierade som relevant personuppgiftsansvarig, och Google LLC, vars ansvar Google bestred, som gemensamt personuppgiftsansvariga, och citerade bland annat Googles egna påstående att Google LLC “utformar och bygger tekniken för Googles produkter och att när det gäller kakor som deponeras och läses vid användning av sökmotorn Google Search, det inte finns någon skillnad i teknik mellan de kakor som placeras från de olika versionerna av sökmotorn” för att komma fram till att Google LLC beslutat hur behandlingen ska ske och spelar en grundläggande roll i hela beslutsprocessen i samband med behandlingen i fråga.
Mot bakgrund av ovanstående, och med hänsyn till de två enheternas respektive ansvar och deras ekonomiska situation, beslutade CNIL att ålägga Google LLC böter på 90 miljoner euro och Google Ireland Limited böter på 60 miljoner euro. Utöver de fasta bötesbeloppen beordrade CNIL också Google att inom tre månader anpassa sin verksamhet till de regler som överträtts och att ytterligare böter på 100 000 euro per dag skulle utdömas för bristande efterlevnad efter utgången av denna period.