La CNIL inflige de lourdes amendes à Google et Facebook pour le non-respect des règles européennes en matière de cookies

Publié par le dans , , | Consulté 214 Fois

Le 6 janvier 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a annoncé, suite à la publication de deux délibérations du 31 décembre 2021 au Journal Officiel de la République Française (JORF), avoir sanctionné les sociétés Google et Facebook en raison de leur non respect de la réglementation européenne en matière de cookies. Ces deux décisions s’inscrivent dans le mouvement, initié par la CNIL depuis plus de deux ans, de mise en conformité des acteurs français et étrangers éditant des sites ayant une forte fréquentation. La CNIL avait accordé un délai de mise en conformité aux acteurs du secteur pour qu’ils puissent répondre aux exigences des nouvelles règles en matière de traceurs. Depuis le 31 mars 2021, le délai étant arrivé à son terme, la CNIL a adopté près de 100 mesures correctrices, mises en demeure et sanctions notamment, en raison du non-respect de la réglementation sur les cookies.

Qu’est-ce qu’un cookie ?

Selon la CNIL, un cookie est « un fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéos connectée à Internet, etc.) ». Le cookie reconnaît le terminal utilisé, et a pour intérêt de faciliter la navigation, de proposer des services personnalisés en collectant des informations lors de consultations de sites. L’utilisation des cookies est soumise au consentement de chaque utilisateur dès lors qu’ils ne sont pas strictement nécessaires au fonctionnement du site concerné.

Il existe différents types de cookies. En premier lieu, il peut être cité les cookies techniques, pour lesquels notre consentement peut difficilement être refusé. En effet, ces cookies sont indispensables au bon fonctionnement d’un site internet. Ils permettent par exemple de savoir si l’utilisateur est connecté ou non à son espace personnel, de gérer la sélection de produits ou de services par les utilisateurs. Cette catégorie de cookies regroupe également les traceurs permettant de relever les statistiques et l’audience du site (nombre de visiteurs, rubriques visitées, repérage des dysfonctionnements du site, etc.).  

Par ailleurs, existent les cookies d’applications tierces. Ceux-ci permettent de faire connaître ou bien de partager des contenus auprès d’autres personnes, et ce en particulier sur les réseaux sociaux. Même si le partage de contenu n’est pas utilisé, il est possible que les réseaux sociaux suivent la navigation des utilisateurs si leur compte est activé sur l’appareil utilisé au moment de la consommation du contenu. 

Aussi, peuvent être cités les cookies partenaires publicitaires. Ce sont des cookies déposés par des sociétés autres que ceux du site visité. Ces sociétés sont souvent des partenaires commerciaux, ou des prestataires de publicité ciblée. Le responsable du site n’a pas de pouvoir d’action sur ces cookies qui sont gérés par d’autres sociétés. Un site accueillant des partenaires publicitaires est susceptible de leur transmettre des informations en lien avec les achats des clients, les produits consultés par exemple. En revanche, ces sociétés doivent traiter « de façon à garantir une sécurité appropriée » les données collectées dans le cadre de l’article 4 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Loi informatique et liberté). 

Enfin, les cookies optionnels peuvent être mentionnés. Ils sont destinés à améliorer l’expérience de l’utilisateur et à faciliter les recherches de ce dernier en proposant des produits et offres en lien avec ses centres d’intérêt. Pour exemple, il peut être citer l’affichage de bannières personnalisées, ou le système de recommandations de produits (dernier produit consulté, « vous aimerez aussi »).

Des sanctions lourdes pour Google et Facebook

C’est donc le 31 décembre dernier que la formation restreinte de la CNIL a pris deux délibérations sanctionnant les sociétés Google et Facebook pour leur non-respect de la réglementation en matière de cookies. Résultent de ces dernières une amende de 60 millions d’euros à l’encontre de Facebook, et une amende à hauteur de 150 millions d’euros pour Google (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED). Les deux plateformes ont trois mois pour se mettre en conformité, à défaut « les sociétés devront chacune payer une astreinte de 100 000 € par jour de retard ». Il peut être souligné que Google avait d’ores et déjà été sanctionné de 100 millions d’euros d’amende en décembre 2020 car la société déposait des cookies publicitaires avant même que l’utilisateur ne prenne une décision.

Dans ses délibérations, la formation restreinte rappelle tout d’abord qu’au terme de l’article 82 de la Loi informatique, fichiers et libertés, qui transpose en droit français les dispositions de l’article 5, paragraphe 3, de la directive ePrivacy de 2002 « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, […] :

1° De la finalité de toute action tendant à accéder, […] à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement […] ». 

Par ces dispositions, la CNIL rappelle que chaque personne visitant un site doit être informée et pouvoir exprimer son consentement à la mise en place de cookies. L’article 4, paragraphe 11 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD, définit le consentement comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair ». Dans ses délibérations, la CNIL rappelle que « la portée de cet article est éclairée par le considérant 42 du RGPD, selon lequel ” le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ” ». Cette interprétation est conforme à la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE) du 1er octobre 2019, Verbraucherzentrale Bundesverband eV contre Planet49 GmbH. Par celle-ci, la CJUE avait posé les exigences du consentement en matière de cookies. Selon la CJUE, le consentement implicite n’est pas possible. Un consentement explicite, pour les cookies optionnels, selon les exigences du RGPD est nécessaire.

Or, la CNIL a pu constater que les sites facebook.com, google.fr et youtube.com ne permettent pas de refuser les cookies « aussi simplement » que de les accepter. En effet, « les sites web […] proposent un bouton permettant d’accepter immédiatement les cookies », en revanche, « plusieurs clics sont nécessaires pour refuser tous les cookies ». Ainsi, la formation restreinte a constaté que rendre le mécanisme de refus plus complexe engendre une lassitude des utilisateurs au refus des cookies et les incitent à privilégier le consentement aux cookies. Un tel dispositif porte donc atteinte à la liberté du consentement des utilisateurs, donc une violation de l’article 82 de la Loi informatique et liberté. 

Des sanctions encourageantes pour l’avenir de la protection de nos données

Face à la publication de ces délibérations, les sociétés ont rapidement réagi. Google a annoncé un changement de ses pratiques : « Dans le respect des attentes des internautes, […] nous nous engageons à mettre en place de nouveaux changements, ainsi qu’à travailler activement avec la CNIL en réponse à sa décision, dans le cadre de la directive ePrivacy ». Pour autant, ce dernier a contesté, mercredi 12 janvier 2022 devant le Conseil d’État, son amende de 100 millions d’euros datant de 2020, considérant que la CNIL n’était pas compétente, et menaçant de se tourner vers la CJUE. Concernant Meta, maison mère de Facebook, la société a annoncé « évaluer la décision » de la CNIL, et continuer « de travailler avec les autorités de régulation », « nous continuons à développer et améliorer les outils de contrôle » des utilisateurs sur les cookies. Ces sanctions sont prometteuses pour la protection de notre navigation sur Internet ; elles permettent de mettre en garde les sites qui souhaitent extorquer notre consentement, et donc s’introduire dans notre vie privée. La CNIL n’est pas la seule à démontrer son rôle de gardienne de nos vies privées ; la Commission Nationale pour la Protection des Données du Grand-Duché de Luxembourg s’empare de la question avec sa conférence « Cookies : je tiens à ma vie privée ou je n’ai rien à cacher ? » qui aura lieu le 28 janvier 2022. 

Sources :

– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

– Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

– Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

– Commission Nationale de l’Informatique et des Libertés, Délibération SAN-2021-023 du 31 décembre 2021

– Commission Nationale de l’Informatique et des Libertés, Délibération SAN-2021-024 du 31 décembre 2021

– CJUE, 1er octobre 2019, Verbraucherzentrale Bundesverband eV contre Planet49 GmbH, Affaire C-673/17

– « Vie privée : la Cnil inflige de lourdes amendes à Google et Facebook pour leurs « cookies » », publié le 6 janvier 2022, franceinfo avec AFP

– « La CNIL inflige de lourdes amendes à Google et Facebook pour leurs cookies », publié le 6 janvier 2022, Le Monde avec AFP

– « La Cnil inflige de lourdes amendes à Google et Facebook pour leurs «cookies» », publié le 6 janvier 2022, Chloé Woitier, Le Figaro