Par Haas Avocats
À la suite d’une plainte déposée le 24 août 2022 par l’organisation None Of Your Business (« NOYB »), la CNIL a ouvert une série de contrôles entre 2022 et 2023. Ces investigations ont porté à la fois sur la messagerie électronique Gmail et sur le parcours de création d’un compte Google, afin de vérifier le respect des règles françaises et européennes en matière de protection des données.Pour les manquements constatés, la formation restreinte de la CNIL a infligé un total de 325 millions d’euros d’amende :
- 200 millions à l’encontre de Google LLC ; et
- 125 millions à l’encontre de Google Ireland Limited.
Elle a également enjoint aux sociétés de se mettre en conformité dans un délai de six (6) mois, sous peine d’une astreinte de 100 000 euros par jour de retard.
Publicités dans Gmail : la CNIL épingle Google pour absence de consentement valable
Les contrôles ont révélé que Google Ireland Limited et Google LLC affichaient, au sein des onglets « Promotions » et « Réseaux sociaux » de Gmail, des annonces publicitaires se présentant comme de simples courriels. La formation restreinte de la CNIL a considéré que ce type de publicité nécessitait le recueil préalable du consentement des utilisateurs[1].
Par ailleurs, lors de la création d’un compte Google, les utilisateurs étaient incités à accepter les traceurs liés à la publicité personnalisée, sans être informés de manière suffisamment claire que l’accès aux services était conditionné par l’acceptation de cookies publicitaires. Le consentement obtenu dans ce cadre ne pouvait donc être considéré comme valable[2].
| MANQUEMENTS | PRECISIONS |
| Absence de recueil du consentement en matière de prospection | La CNIL a relevé que les utilisateurs ayant activé l’option d’organisation de leur boîte de réception en onglets « Promotions » et « Réseaux sociaux » voyaient apparaître, sans le nécessaire recueil de leur consentement préalable, des messages publicitaires insérés parmi leurs courriels privés et présentés sous la forme d’e-mails. |
| « Dark pattern » | Malgré des modifications de Google, la CNIL a estimé que ces modifications restaient insuffisantes, les annonces ne se distinguant pas suffisamment des véritables courriels pour modifier le régime juridique qui leur est applicable. |
| Refus et retrait du consentement plus difficiles | Le consentement recueilli lors de la création d’un compte Google ne pouvait pas être considéré comme libre, dans la mesure où refuser les traceurs liés à la publicité personnalisée impliquait un parcours plus complexe que leur acceptation. |
| Dépôt forcé de cookies publicitaires | Aucune information n’indiquait que l’accès aux services du groupe GOOGLE était conditionné au dépôt de traceurs liés à la publicité. |
Les manquements constatés par la CNIL, justifiant cette sanction, sont les suivants :
Cookies : pourquoi la mise en conformité des sites web est incontournable
La gestion des cookies constitue l’un des domaines les plus remédiables techniquement et juridiquement. En effet, il suffit souvent d’adapter l’interface d’information et de paramétrage (CMP) pour respecter les droits des utilisateurs.
Cette simplicité de remédiation place les sites internet, petits comme grands, en première ligne face aux sanctions potentielles de la CNIL. L’exemple récent de SHEIN en témoigne : l’entreprise a été sanctionnée à hauteur de 150 millions d’euros notamment pour avoir déposé des cookies marketing sans consentement valable. La CNIL a relevé des manquements liés au dépôt de traceurs même en cas de refus et à une information incomplète des utilisateurs, alors même que des « correctifs techniques » auraient pu être facilement déployés.
Publicité ciblée vs conformité : un choix économique à haut risque
Malgré le caractère récurrent des sanctions, de nombreux sites repoussent leur mise en conformité. Comme toujours, cette résistance s’explique par un dilemme économique : la publicité ciblée, rendue possible grâce aux traceurs, génère des revenus bien plus importants que la publicité non ciblée.
Respecter le consentement des utilisateurs réduit mécaniquement le volume de données collectées et donc la rentabilité publicitaire. Dans le cas de Shein comme pour Google, l’argument économique apparaissait en filigrane : maximiser l’efficacité des campagnes marketing en exploitant les données des utilisateurs, au prix d’un non-respect du cadre légal. Ce calcul à court terme conduit certaines entreprises à retarder leur mise en conformité, malgré les risques juridiques et réputationnels associés.
On pourrait alors imaginer si, face à l’essor de la publicité comportementale et aux nouvelles régulations européennes, l’avenir du numérique ne pourrait pas plutôt se jouer autour de la capacité des acteurs à inventer des modèles respectueux des utilisateurs tout en restant économiquement viables… A méditer.
***
Le cabinet HAAS Avocats, spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle, est à votre disposition pour vous accompagner dans vos démarches de conformité et pour répondre à toutes vos interrogations sur la régulation des plateformes numériques. Pour nous contacter, cliquez ici.
[1] Article L. 34-5 du Code des postes et des communications électroniques
[2] Article 82 de la loi Informatique et Libertés
