Cookies : la CNIL sanctionne TIKTOK à hauteur de 5 millions d’euros

La Commission nationale de l’informatique et des libertés (ci-après « CNIL ») a par délibération du 29 décembre 2022 sanctionné TIKTOK à hauteur de 5 milions d’euros pour sa politique en matière de cookies sur le site web Tiktok.com

Contexte et cadre légal applicable :

En l’espèce, entre mai 2020 et juin 2022 la CNIL s’est penchée sur le dépôt de cookies et traceurs sur le terminal des utilisateurs résidant en France lors de la navigation sur le site « tiktok.com » et sur les sous-domaines TIKTOK[1] sans inclure l’application mobile.

Pour rappel, ces différents traitements entrent dans le champ d’application de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, (ci-après la directive « ePrivacy »).

En droit interne, c’est l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après « loi informatique et libertés ») qui précise les conditions de la collecte des cookies, en disposant que :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer. […] »

Dans cette affaire, la CNIL a reconnu sa compétence pour contrôler et engager une procédure de sanction concernant les traitements mis en œuvre par Tiktok, puisqu’ils relèvent de la loi Informatique et libertés et se rattachent à sa compétence territoriale.

En effet, l’article 16 de la loi Informatique et Libertés précise que « la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi ».

Aussi, la CNIL a été considérée comme territorialement compétente en application de l’article 3 de la LIL[2] dès lors que le traitement des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de la navigation sur le site web « tiktok.com » est effectué dans le « cadre des activités » de la société TIKTOK SAS, qui constitue « l’établissement » sur le territoire français des sociétés TIKTOK Royaume-Uni[3] et TIKTOK Irlande[4].

Le mécanisme de coopération prévu par le Règlement général sur la protection des données (ci-après « RGPD »)  (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans ces procédures dans la mesure où les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

Manquement à l’obligation de recueillir le consentement

La formation restreinte a conclu dans sa délibération en date du 29 décembre 2022 à la violation de l’article 82 de la Loi informatique et libertés en raison d’un manquement sur la nécessité d’un recueil de consentement au dépôt et à la lecture des cookies non essentiels

Pour rappel, la directive ePrivacy prévoit en son article 2, f), que le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée figurant au sein de l’article 4 du RGPD. Celui-ci doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.

En l’espèce, au jour du contrôle en ligne, le bandeau affiché sur le site « tiktok.com » contenait certes un bouton permettant d’accepter immédiatement les cookies, mais il n’y avait aucun moyen analogue offert à l’utilisateur pour pouvoir refuser le dépôt de ces cookies (facilement et en un seul clic). Il devait effectuer au moins trois actions (un premier clic sur « Gérer les paramètres », puis un clic sur « Ouvrir les paramètres de cookies » et un clic sur « Enregistrer »).

Or, le considérant 42 du RGPD précise que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice »

Le mécanisme présenté par le site « tiktok.com » a été considéré selon la rapporteuse comme celui qui « ne présentait pas la même facilité que celle permettant d’exprimer son consentement, en méconnaissance des exigences légales de liberté du consentement, qui impliquent de ne pas inciter l’internaute à accepter les cookies plutôt qu’à les refuser »

Les sociétés se sont défendues en expliquant que lorsque l’utilisateur s’abstenait de cliquer sur le bouton « tout accepter » cela avait pour conséquence qu’aucun cookie non essentiel n’était inscrit sur son terminal et qu’ainsi, il était aussi facile de refuser que de consentir aux opérations de lecture et/ou d’écriture.

À cela la formation restreinte a rappelé plusieurs principes, notamment que le refus de l’utilisateur de consentir aux cookies ne peut se déduire de son silence qu’à la condition que l’utilisateur en soit pleinement informé (en l’espèce, l’utilisateur n’était pas informé).

Aussi, elle relève que les sociétés « offraient un choix entre l’acceptation ou le refus des cookies, mais les mécanismes par lesquels ce refus pouvait être exprimé, dans un contexte de la navigation sur internet, biaisait l’expression du choix en faveur du consentement de façon à altérer la liberté de choix ». Cette technique « dark pattern » revient à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter » .

En raison des éléments qui précèdent, il a été considéré que les sociétés ont violé l’article l’article 82 de la loi Informatique et Libertés, interprétée à la lumière du RGPD dès lors où l’utilisateur ne pouvait pas refuser les cookies aussi facilement que de les accepter au moment du contrôle en ligne du 3 juin 2021 et jusqu’à la mise en place d’un bouton ” Tout refuser ” le 28 février 2022.

Manquement à l’obligation d’information des personnes concernées

Les dispositions de l’article 82 de la loi Informatique et Libertés indiquent que l’utilisateur doit être informé de manière complète des finalités poursuivies par les opérations de dépôt et de lecture des cookies et des moyens dont il dispose pour s’y opposer.

Pour plus de clarté, la CNIL a émis des lignes directrices en date du 17 septembre 2020, où il est rappelé notamment que « l’information doit être rédigée en des termes simples et compréhensibles par tous et qu’elle doit permettre aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés […]. L’information doit être complète, visible et mise en évidence. Un simple renvoi vers les conditions générales d’utilisation ne saurait suffire […]. Ces informations doivent apparaitre préalablement au recueil du consentement de l’utilisateur afin d’assurer le caractère éclairé de ce dernier. […] »

Il a été rapporté que sur le site tiktok.com, le bandeau figurant en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble cookies déposés. En effet, les termes « améliorer votre expérience sur nos sites web »  et « à des fins d’analyse et de marketing » ont été considérés comme particulièrement imprécis en raison du fait que l’utilisateur n’était pas en mesure de comprendre quels types de contenus allaient lui être présentés et, le cas échéant sous quelle forme.

De surcroit, la formation a pu relever que l’utilisateur ne disposait pas, lorsqu’il se trouvait sur l’interface de recueil du consentement cookie par cookie, d’une information précise et complète sur la ou les finalités des différents cookies.

Au regard notamment de ce qui précède, la formation restreinte a considéré que les sociétés TIKTOK UK et TIKTOK Irlande, méconnaissaient les obligations prévues à l’article 82 de la loi Informatique et Liberté pour défaut d’information des personnes concernées. Les utilisateurs n’étaient pas informés de façon suffisamment précise des finalités (objectifs) des cookies tant sur le bandeau d’informations que dans le cadre de l’interface de choix accessible cookie par cookie.

La sanction :

Sur la base des constatations effectuées lors des contrôles, l’organe de la CNIL chargé de prononcer les sanctions a considéré que les sociétés TIKTOK Royaume-Uni et TIKTOK Irlande avaient manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.

Le montant à hauteur de 5 millions d’euros a été décidé au regard des manquements retenus, du nombre de personnes concernées et des nombreuses communications antérieures de la CNIL sur le fait qu’il doit être aussi simple de refuser les cookies que de les accepter.


 

 

[3] TIKTOK INFORMATION TECHNOLOGIES UK LIMITED

[4] TIKTOK TECHNOLOGY LIMITED