Skip to main content

Crise du Covid-19 | Le contact tracing comme outil pour accompagner le déconfinement - Enjeux juridiques

Une stratégie digitale pour le déconfinement
Après plusieurs semaines de confinement, les gouvernements des pays européens examinent différentes stratégies pour permettre un retour à la normale. Déjà, une multitude d’initiatives technologiques conçues autour de l’exploitation de données ont vu le jour. Les propositions varient selon l’objectif envisagé: gestion des mobilités, respect des mesures de confinement, ou encore identification des individus porteurs et des individus dits « contacts ». Les technologies disponibles sont tout aussi variées : bornage téléphonique, GPS (Global Positioning System), systèmes de cartes bancaires, Bluetooth, vidéosurveillance.
Les développements en la matière évoluent très rapidement et le gouvernement français a fait savoir qu’il souhaitait déployer une solution à horizon mi-mai. Le 13 avril, lors de son allocution télévisée, Emmanuel Macron a indiqué que la piste d’une application mobile « qui, sur la base du volontariat et de l’anonymat, permettra de savoir si, oui ou non, l’on s’est trouvé en contact avec une personne contaminée » (contact tracing ou backtracking), est étudiée. Le 16 avril, la Commission européenne a publié ses recommandations sous la forme d’une « boite à outils » au sujet d’une approche collective par les États membres pour le développement et l’interopérabilité d’une technologie de contact tracing au sein de l’Union européenne (Common EU Toolbox for Member States). Des orientations spécifiques de la Commission relatives à la protection des données à caractère personnel dans ce contexte, accompagnent cette boîte à outils.
L’objectif de cette note est de décrire en des termes généraux la technologie qui semble être envisagée par le gouvernement, ainsi que les défis juridiques qui en résultent. En particulier, nous examinerons les limites d’une utilisation reposant sur le consentement des individus ainsi que les avantages et enjeux relatifs à l’adoption d’une loi qui imposerait l’usage d’une telle application.
I. Solutions technologiques envisagées et fonctionnement
Le contact tracing ou backtracking consiste en la conservation de l’historique des contacts entre les individus ayant eu un contact rapproché ou durable afin de pouvoir informer, a posteriori, ceux ayant été à proximité d’un individu qui se déclarerait porteur du virus. Il peut également, comme l’explique clairement la note parlementaire du député Mounir Mahjoubi du 6 avril, selon la technologie utilisée, permettre d’identifier les lieux et zones qui ont accueilli des individus contaminés en suivant leur itinéraire afin d’informer toutes les personnes qui ont pu y passer un certain temps.
D’un point de vue technologique, le contact tracing peut être mis en œuvre de différentes façons notamment par le biais du traitement de données issues du bornage des opérateurs télécom, de données GPS issues d’applications mobiles, de connexions Bluetooth d’applications mobiles, de données issues de l’usage de cartes bancaires ou de transport, de données issues de la vidéosurveillance. 
L’usage du contact tracing est controversé car il implique le traitement de catégories particulières de données notamment de données de santé mais également, selon la technologie utilisée, de données de localisation par le biais par exemple de la technologie GPS.
La technologie Bluetooth semble néanmoins sortir du lot compte tenu de son caractère plus protecteur de la vie privée et des données à caractère personnel, notamment en raison du fait qu’elle n’implique pas le traitement de données de localisation. La Commission Européenne a d’ailleurs publié, le 8 avril, des recommandations pour la création d'une approche commune à l'égard de ces technologies, dans lesquelles elle a déclaré que « les mesures les moins intrusives mais les plus efficaces [doivent être privilégiées], comprenant le recours aux données de proximité et éviter le traitement des données de localisation ou de déplacement de personnes ». . Cette position est confirmée par les nouvelles recommandations de la Commission, qui recommandent l’adoption d’une application de contact tracing limitée dans le temps et fondée sur le volontariat, et déconseillent l’utilisation de données de localisation.
Plusieurs initiatives de chercheurs ont vu le jour pour étudier la meilleure solution Bluetooth de contact tracing et accompagner les États dans leur réflexion, parmi lesquelles le groupement européen PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) et le groupement DP-PPT d’experts européens (Decentralized Privacy-Preserving Proximity Tracing). En France, le Comité Analyse Recherche et Expertise (CARE) est notamment chargé de conseiller le gouvernement sur les solutions technologiques appropriées. Le développement de l’application « StopCovid » a été confié à l’Inria et s’intègre dans le projet PEPP-PT.
La technologie Bluetooth utilise uniquement des ondes radio pour échanger des informations avec les dispositifs proches et n’utilise pas les données GPS. Ce « traçage de proximité » permet de déterminer les terminaux mobiles qui ont été à proximité d’une personne infectée, sans révéler ni l’identité des individus en question, ni le lieu où ce contact est intervenu. Pour cela, les utilisateurs doivent télécharger une application et activer la fonction Bluetooth de leur téléphone. Cette application permet, comme l’explique le Livre Blanc du groupement DP-PPT et la documentation du PEPP-PT, d’« émettre un identifiant anonyme et éphémère correspondant à l’utilisateur, et également d’enregistrer les identifiants reçus des téléphones passant à proximité », afin de constituer l’historique des contacts. Si un individu est diagnostiqué positif au coronavirus, il le déclare sur son application et, selon le modèle DP-PPT, l’information est envoyée sur un serveur central ce qui permet aux autres utilisateurs de l’application, qui ont enregistré dans leur historique de contacts l’identifiant de l’individu contaminé, d’être notifiés. La solution DP-PPT pourrait peut-être permettre d’établir une « cote de risque » (risk scoring) sur la base du degré de proximité et de la durée du contact avec une personne infectée. La documentation fournie par le PEPP-PT indique que chaque pays définira la façon d’informer et de gérer les contacts exposés à des personnes contaminées. A ce stade, le gouvernement français n’a pas indiqué comment il envisageait de gérer les données relatives aux individus exposés. 
Deux approches sont envisagées : le système peut être centralisé, approche plébiscitée par le DP-PPT et envisagée également par le PEPP-PT, c’est-à-dire que toutes les données (contact, durée du contact, proximité, etc.) sont directement envoyées et traitées par un serveur central qui identifie les individus devenus à risque et déclenche la notification. A l’inverse, dans une approche décentralisée, les informations restent sur les téléphones portables qui traitent en local les informations de proximité.
Dans ces deux modèles, l’intervention d’une autorité de santé est prévue notamment pour recevoir le diagnostic des individus (automatiquement ou avec leur consentement), les informer qu’ils ont été testés positifs et s’assurer que la déclaration de contamination n’est pas trompeuse, en communiquant à l’individu déclaré positif un code d’authentification temporaire à renseigner dans l’application, comme moyen de « certification », et qui déclenchera la notification auprès des personnes « contacts ».
Néanmoins, la technologie Bluetooth ne va pas sans ses défauts également, notamment celui de créer des « faux positifs » ou des « faux négatifs », c’est-à-dire de déclencher des notifications auprès de personnes « contacts » à tort ou à l’inverse de ne pas notifier des personnes à risque, puisqu’elle ne permet par exemple pas d’identifier si les individus ont été dos à dos ou face à face, ou encore si l’individu a touché certaines surfaces contaminées.
En parallèle, de nombreux pays ont développé des initiatives similaires dans le monde. A Singapour par exemple, l’application TraceTogether est utilisée par 19% de la population sur une base volontaire, ce qui n’a pas permis d’éviter pour autant des mesures de confinement qui ont été adoptées depuis en raison d’une seconde vague de contagions. Singapour a par ailleurs couplé cet usage au déploiement d’autres technologies de traçage telles que l’exploitation des données de paiements. L’Allemagne réfléchit également au déploiement d’une application sur le modèle de TraceTogether, étant précisé que la campagne de dépistage y est importante et de nature à améliorer l’efficacité de cette technologie. Le 10 avril, Google et Apple ont annoncé qu’elles pourraient coopérer au développement d’une solution Bluetooth volontaire de contact tracing.
II. Initiatives politiques et législatives 
Au fur et à mesure que l’épidémie évolue, le cadre législatif pour faire face aux différentes conséquences de celle-ci ne cesse de s’étoffer. Ainsi, plusieurs institutions ont publié des recommandations, notamment le Comité Européen sur la Protection des Données (EDPB) et le Contrôleur Européen à la Protection des Données (CEPD) au sujet des traitements de données à caractère personnel dans le contexte de la lutte contre le Covid-19.
Des orientations spécifiques relatives à la protection des données à caractère personnel dans le cadre de l’utilisation d’applications pour lutter contre la crise du Covid-19 ont accompagné la publication de la “boîte à outils” de la Commission européenne le 16 avril.
De la même manière, les Etats et leur gouvernement tentent d’organiser un cadre pertinent au plus vite. La présidente de la CNIL, Marie-Laure Denis a été auditionnée par la commission des lois de l’Assemblée Nationale le 8 avril et a fait part des enjeux juridiques liés à la mise en place du contact tracing.
Les députés sont également très actifs : une note parlementaire sur le « traçage des données mobiles dans la lutte contre le Covid-19 », a été publiée le 6 avril par le député Mounir Mahjoubi et une proposition de loi a été déposée à l’Assemblée Nationale le 7 avril, qui autoriserait l’Etat à traiter les données de géolocalisation des individus dans le contexte d’une épidémie, sous réserve d’obtenir leur consentement.
L’actualité évolue très rapidement et de multiples recommandations, projets de loi ou autres textes, sont à prévoir dans les prochains jours.
III. Enjeux juridiques
A.      De quelles données parle-t-on et quel(s) régime(s) s’y applique(nt) ?

Le dispositif envisagé implique le traitement de plusieurs types de données : l’information selon laquelle l’utilisateur est porteur du virus, les données liées au terminal mobile – identifiant unique, durée de contact entre deux identifiants, proximité de ces identifiants. Il est aussi créateur de nouvelles données : le fait par exemple qu’un individu soit devenu une personne à risque, voire même sa « cote de risque » (risk scoring) qui pourrait être établie, selon le modèle DP-PPT, en fonction de son degré et sa durée de proximité avec une personne contaminée.
Ainsi qu’il a été décrit ci-dessus, les experts indiquent que l’utilisation de la technologie Bluetooth permet l’échange de données anonymes, l’individu correspondant ne pouvant pas être identifié. S’il est difficile de confirmer cette analyse sans connaitre avec précision le fonctionnement de la technologie envisagée, il est techniquement compliqué d’anonymiser des données à caractère personnel et lorsque des données supposément anonymes sont croisées avec d’autres données, une réidentification est parfois possible. Quid par exemple du cas où vous n’auriez croisé au cours des derniers jours que 4 personnes, dont vous savez par ailleurs pour 3 d’entre elles qu’elles ont été testées négatives ? Vous saurez que c’est la 4ème qui vous a contaminé.
En outre, il est possible que certaines de ces données ne restent pas entre l’utilisateur et son téléphone portable mais soient partagées, a minima avec les autorités de santé voire également avec les entreprises privées qui, en tant qu’employeurs, pourraient y voir une utilité (voir-ci-dessous). Dans ces circonstances, les données seraient corrélées à un individu identifiable.
Par conséquent, s’il est possible que certaines des données traitées soient anonymes, il est permis de douter du caractère anonyme de la technologie dans son ensemble et de toutes les données qui en émaneront. Sa conformité à la règlementation applicable – en particulier au RGPD et potentiellement à la Directive ePrivacy – devra donc faire l’objet d’une attention particulière, et ce d’autant plus que parmi ces données à caractère personnel figureront des données de santé, dont le traitement est par principe interdit.
L’utilisation d’une application de contact tracing supposerait alors de recueillir le consentement des utilisateurs, ou à défaut d’adopter une loi autorisant un tel traitement. C’est ce qu’a indiqué Marie-Laure Denis, Présidente de la Commission Nationale de l’Informatique et des Libertés, lors de son audition le 8 avril devant la commission des lois de l’Assemblée Nationale : « concrètement, il faut donc, dans la généralité des cas, soit que les données soient anonymes, soit le consentement, soit un texte qui, en France, devrait être une loi ».

B.     Les enjeux juridiques liés à une utilisation de l’application sur la base du consentement

Si les données traitées par l’application sont entièrement anonymes, le RGPD ne s’appliquera pas. La Directive ePrivacy pourrait néanmoins s’appliquer, si les données de “proximité” sont couvertes par son article 5, 3. (transposé à l’article 82 de la Loi Informatique et Libertés). Si, en revanche, des données à caractère personnel sont traitées – c’est-à-dire des données pouvant donner lieu à l’identification directe ou indirecte d’un utilisateur –, toutes les dispositions du RGPD s’appliqueront. Les conditions applicables à la validité du consentement des utilisateurs, en particulier s’agissant d’un traitement de données sensibles telles que des données de santé, poseront alors difficulté.
(i)               Le consentement au traitement de données à caractère personnel doit en effet être libre (Article 4, 11. du RGPD).
Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque. Le consentement n’est pas considéré comme ayant été donné librement lorsqu'il existe un « déséquilibre manifeste » entre la personne concernée et le responsable du traitement de données, par exemple si «  le responsable du traitement est une autorité publique » (considérant 43 du RGPD).  . La Commission européenne recommande, néanmoins, que l’autorité sanitaire de chaque Etat Membre soit le responsable de traitement dans le cadre du déploiement d’application de contact tracing.La position de la Commission européenne, à savoir que les personnes devraient être invitées à consentir au traitement de leurs données dont les autorités publiques sont les responsables du traitement, est en contradiction avec les orientations données précédemment par le Comité européen de la protection des données (anciennement le groupe de travail "Article 29" ou « WP29 ») selon lesquelles, dans la plupart des cas où une autorité publique agit en tant que responsable du traitement, il sera clair « que la personne concernée n'aura pas d'autre choix réaliste que d'accepter le traitement (les conditions) de ce responsable du traitement. Le WP29 considère qu'il existe d'autres bases légales qui sont, en principe, plus appropriées à l'activité des autorités publiques. »

C’est d’ailleurs ce que dénoncent certains députés dans une tribune parue le 8 avril craignant que la « pression sociale [fasse] naître un consentement induit » de la part des utilisateurs, qui ne serait alors pas valable juridiquement.

Les autorités publiques ne sont en outre pas les seuls acteurs susceptibles d’être intéressés par le type de données produites par l’application.
Le contact tracing étant conçu comme un outil facilitant l’assouplissement des mesures de confinement, et par conséquent le retour physique des salariés dans leurs locaux, les entreprises se demanderont très certainement dans quelles mesures elles pourraient demander, voire imposer, à leurs salariés l’utilisation de ces applications de contact tracing, même si une telle utilisation n’est pas exigée par la loi. En effet, un employeur pourrait considérer que la mise à disposition de l'application à ses salariés et agents satisferait et serait conforme à son obligation légale de protéger la santé et la sécurité de ses salarié et agents par la prévention des risques professionnels (article L.4121-1 du Code du travail).
Par ailleurs, un salarié a également l'obligation légale de « prendre soin, en fonction de sa formation et selon ses possibilités, de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail, conformément aux instructions qui lui sont données par l'employeur [...] », (article L.4122-1 du Code du travail). Selon les recommandations relatives à l’épidémie de Covid-19 publiées par la CNIL, cela signifie qu'un employé ou un agent « doit informer son employeur en cas de suspicion de contact avec le virus ».
Un employeur pourrait donc considérer que les données générées par ces applications devraient leur être communiquées pour gérer les risques liés à la santé et à la sécurité de leurs employés.
Un employeur ne pourrait néanmoins pas imposer aux salariés de consentir au traitement de leurs données à caractère personnel par l'application, car ce consentement ne serait pas libre. En outre, compte tenu du déséquilibre significatif inhérent à la relation entre un employeur et son employé, les autorités de protection des données (dont la CNIL), considèrent que les employés ne peuvent pas fournir un consentement libre aux traitements de données à caractère personnel mis en œuvre par leur employeur. Par conséquent, l’employeur ne pourra pas demander à ses employés de lui communiquer les résultats obtenus via l’application notamment leur contact avec une personne contaminée.   

(ii)             Le consentement doit être spécifique et éclairé (Article 4, 11. du RGPD).
En d’autres termes, l’utilisateur doit avoir été informé des modalités du traitement auquel il consent, et en particulier de ses finalités qui doivent être déterminées et explicites.
Or le caractère évolutif de la crise, des usages et de l’utilité potentiel(le)s que pourront revêtir ces données, risque de rendre la détermination précise et limitée de ces finalités, difficile. Comme indiqué par Marie-Laure Denis lors de son audition devant l’Assemblée Nationale : « il est aujourd’hui difficile, faute de recul suffisant, d’évaluer les bénéfices effectifs qui pourraient être tirés de l’utilisation de tels dispositifs, d’autant plus que les usages peuvent varier tant au niveau des données collectées que des finalités poursuivies. »
A ce stade, les finalités du traitement de données mis en œuvre via le contact tracing n’ont pas encore été clairement articulées. Une approche limitant l’usage à des finalités déterminées est donc nécessaire pour gagner la confiance des utilisateurs et permettre l’obtention d’un consentement valable. Néanmoins, en pratique, une telle approche risque de réduire l’utilité du dispositif en limitant les possibilités d’évolution de ses fonctionnalités.
D’un point de vue pratique, assujettir l’utilisation de l’application au consentement la priverait probablement d’un grand nombre d’utilisateurs, ce qui affecterait l’efficacité – et donc la nécessité – du dispositif dans son ensemble. Selon un sondage publié par le Journal du Dimanche le 12 avril, 46% des français étaient prêts à activer l’application sur leur téléphone. Selon certaines études citées par la Commission européenne dans sa « boîte à outils », il est nécessaire que 60 à 75% de la population utilisent l’application pour lui permettre d’être efficace.
L’alternative consistant en l’adoption de loi pourrait permettre de contourner les enjeux juridiques liés au consentement, mais va également avec son lot de difficultés.
  1. Les enjeux juridiques liés à l’adoption d’une loi rendant obligatoire l’utilisation de l’application de contact tracing

Pour s’assurer de l’utilité d’une application de contact tracing tout en permettant d’encadrer son usage strictement par la mise en place de garde-fous dont le non-respect serait sanctionné, le gouvernement ne devrait pas se priver d’étudier l’adoption d’une loi qui rendrait l’utilisation de cette application obligatoire. Le risque de cette approche est que, selon notamment les données traitées et les usages autorisés, une telle loi pourrait constituer une atteinte au droit au respect de la vie privée consacré par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés (CEDH), interprété conformément aux articles 7 (Respect de la vie privée et familiale) et 8 (Protection des données à caractère personnel) de la Charte des droits fondamentaux de l’Union européenne. C’est d’ailleurs ce qu’indique la Commission européenne dans ses recommandations : « Compte tenu des fonctionnalités des applications […], leur utilisation est susceptible d’affecter l’exercice de certains droits fondamentaux, parmi lesquels le droit au respect de la vie privée et familiale » (paragraphe 15 des recommandations du 8 avril).
Bien que l’article 8(2) de la CEDH prévoit que la protection de la santé puisse justifier une restriction par une autorité publique du droit au respect de la vie privée, cette ingérence doit respecter certaines conditions dont celle d’être « nécessaire dans une société démocratique ». L’État doit être en mesure de démontrer qu’il existe un besoin social impérieux justifiant cette ingérence, et les mesures adoptées doivent en tout état de cause être proportionnées à l’objectif visé. Cette exigence de proportionnalité et d’adéquation est également prévue par la jurisprudence du Conseil constitutionnel rendue en la matière.
Les États disposent d’une certaine marge d’appréciation dans l’évaluation du « besoin social impérieux ». Une loi pourrait intégrer des garde-fous de nature à limiter l’atteinte aux libertés fondamentales, tels que la restriction du type de données qu’une telle application pourrait traiter, l’anonymisation obligatoire. En outre, la finalité pour laquelle l’application serait utilisée serait explicite et déterminée (et limitée à la crise du Covid-19), et toute utilisation des données pour d’autres finalités ou communication de ces données à des tiers seraient explicitement interdites ou clairement définie.
Cela étant dit, quel que soit son contenu, une telle loi est susceptible d’être contestée. L’État devra alors être en mesure de démontrer un lien de causalité clair entre le traitement de données mis en œuvre par le biais des technologies de contact tracing et la protection de la santé des individus. En d’autres termes, la technologie doit être efficace et il doit pouvoir être prouvé que son usage contribue à réduire la propagation du Covid-19. A défaut, le caractère nécessaire et proportionné de l’atteinte au droit au respect de la vie privée pour les besoins de la protection de la santé sera difficile à soutenir. Or l’efficacité d’un tel dispositif dépendra en grande partie de la politique de dépistage mise en œuvre par le gouvernement et du nombre d’utilisateurs effectifs de cette technologie. Emmanuel Macron a annoncé le 13 avril que seuls les individus présentant des symptômes seraient testés. Cependant, selon certaines études, 30 à 60% des individus contaminés n’ont pas ou peu de symptômes.
IV. Conclusion
Le déploiement d’une application de contact tracing rapide est confronté à de multiples difficultés : questionnements autour du degré d’anonymat des données, difficulté à gagner la confiance et l’adhésion des utilisateurs, validité du consentement, difficulté politique à faire adopter une loi imposant l’usage d’une telle application.
Si les nouvelles technologies et l’exploitation de données sont des moyens précieux pour aider à la gestion d’une pandémie de cette ampleur, les réponses doivent être réfléchies eu égard aux enjeux juridiques et aux difficultés techniques qu’elles soulèvent. L’utilisation d’une l’application reposant sur le consentement pourrait ne pas aboutir aux résultats escomptés. Une utilisation imposée par une loi pourrait fournir une base juridique, intégrer des garde-fous et renforcer son efficacité, mais cette approche est susceptible d'être contestée, en particulier si elle ne s'accompagne pas de tests généralisés de la population. Il est probable que l’approche choisie, plébiscitée par les institutions européennes et de protection des données en dépit des obstacles juridiques qu’elle comporte, soit celle du consentement qui est en outre moins susceptible d’être contestée que l’adoption d’une loi imposant l’usage d’une telle application. Néanmoins, sans adoption massive et adoption d’autres mesures de prévention de grande ampleur, StopCovid ne sera qu’une opportunité manquée.

Comments

Popular posts from this blog

CNIL’s sanctions against Google LLC and Google Ireland Limited and against Amazon Europe Core: summary and main findings

 On 10 December 2020, the CNIL made public two decisions regarding the use of cookies in breach of Article 82 of the French Loi Informatique et Libertés (the “LIL”), which transposes the ePrivacy Directive 2002/58/EC (“ePrivacy Directive”). The first sanction, against a Google LLC and Google Ireland Limited (together “ Google ”) was for a total amount of €100 million (€60m for Google LLC and €40m for Google Ireland Limited, or “GIL”). The other sanction was imposed on Amazon Europe Core (“ Amazon ”) for €35m.  Set out below is a summary of both decisions, with a specific focus on the arguments and reasoning relating to the CNIL’s competence to enforce the provisions of the LIL against Google and Amazon, which is the subject of substantial and interesting developments. The two decisions have a number of points in common, although some of the interesting nuances are noted in our summary.  1. Background In relation to Google, the CNIL conducted an online audit of google.fr on 16 March 20

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission.  La présente note donne un aperçu de la structure et des principales obligations applicables aux " gatekeepers ", dans le cas de la DMA (Partie I) et aux fournisseurs de " intermediary services " en ligne,

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension