Le 28 janvier 2022 était célébrée la journée mondiale de la protection des données personnelles. A l’occasion de cette journée, nous vous proposons de revenir sur les deux dernières sanctions retentissantes prononcées par la CNIL à l’encontre de Facebook1 et Google2.
En effet, le 31 décembre 2021, la CNIL a condamné les deux entreprises à s’acquitter d’une amende de 150 millions d’euros pour Google et 60 millions pour Facebook en raison de leur pratique illégale en matière de cookies.
Qu’est-ce qu’un cookie ?
Afin de comprendre la portée de ces sanctions il est nécessaire de revenir sur la notion de ces fameux cookies ou traceurs. Il s’agit d’un « petit fichier stocké par un serveur dans le terminal d’un utilisateur et associé à un domaine web. Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine »3. Il existe un large éventail de cookies et surtout d’utilisation de ces derniers. Si certains sont strictement nécessaires au bon fonctionnement d’un site internet d’autres servent à collecter des informations personnelles sur l’utilisateur, notamment à des fins publicitaires.
Le manquement de Google et Facebook en matière de cookies
La CNIL a reçu plusieurs plaintes quant aux modalités de refus des cookies sur les sites google.fr et facebook.com.
Le constat effectué est celui du manque d’équivalence entre la manipulation pour accepter les cookies et celle pour les refuser. En effet, si la manipulation pour accepter les cookies était d’une facilité déconcertante, la manipulation pour les refuser était bien plus compliquée. De fait, plusieurs clics étaient nécessaires pour refuser ces traceurs contre un seul et unique clic pour les accepter.
Dans ces deux délibérations, la CNIL a considéré que ces pratiques des géants du web que sont Google et Facebook constituaient une violation de l’article 82 de la Loi informatique et Liberté en raison de l’atteinte à la liberté du consentement des utilisateurs en les décourageant de refuser les cookies et en les incitant fortement à les accepter.
En effet, l’article 82 pose le principe d’un consentement libre et éclairé préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci.
Dans la décision rendue notamment contre Facebook, la CNIL précise que le « parcours informationnel » mis en œuvre par le site génère une grande confusion pour l’utilisateur. En effet pour refuser le dépôt de cookies, il doit cliquer sur l’intitulé « Accepter les cookies » figurant dans la seconde fenêtre. La CNIL retient que ce mécanisme crée une large confusion pour l’internaute qui peut avoir le sentiment de perdre le contrôle sur ce dépôt.
Ce manque de clarté des modalités de recueil du consentement et des informations qui gravitent autour de ce dernier constituent lui aussi une violation de l’article 82 de la loi Informatique et Libertés.
Ainsi, les pratiques de dépôt de cookies sans recueil préalable du consentement de l’utilisateur, les défauts d’information des utilisateurs et la défaillance du mécanisme « d’opposition » de dépôt ont mené à des sanctions à l’encontre de ces deux sites internet.
Les sanctions prononcées
La CNIL a sanctionné :
- la société Google à hauteur de 150 millions d’euros (90 millions d’euros pour GOOGLE LLC et 60 millions d’euros pour GOOGLE IRELAND LIMITED)
- la société FACEBOOK IRELAND LIMITED à payer une amende de 60 millions d’euros.
Elle justifie le montant de ces amendes par le nombre de personnes concernées et par les bénéfices réalisés par ces sociétés grâce aux revenus publicitaires générés par les données collectées via les cookies.
Aussi, pour compléter son amende la CNIL enjoint les sociétés à mettre à disposition des internautes situés en France, un mécanisme permettant de refuser les cookies aussi aisément que celui qui permet de les accepter.
Nous vous rappelons que les règles applicables en matière de cookies avaient évolué en septembre 2020, avec l’adoption par la CNIL de lignes directrices modificatives et de nouvelles recommandations. La Haute autorité avait prévu que les règles en matière de cookies feraient partie de ses priorités s’agissant des contrôles en 2021. Or, le principe d’équivalence entre les modalités d’acceptation et de refus des cookies faisait partie des nouvelles recommandations de la CNIL.
Enfin, en parallèle de ces sanctions il convient de noter le projet de règlement ePrivacy que l’Union européenne (UE) s’efforce de mettre en place (actuellement en cours de négociation). Ce texte viendrait compléter et accompagner le Règlement européen Général sur la Protection des Données (RGPD) notamment en matière de cookies. Ce projet de règlement a vocation à affirmer justement à l’échelle européenne cette équivalence entre le procédé d’acceptation et de refus des cookies par les utilisateurs et la proposition d’une alternative en cas de refus de dépôt des cookies.
1 Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840532
2 Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840062
3 Définition de la CNIL “Cookie” disponible sur : https://www.cnil.fr/fr/definition/cookie
