Par Haas Avocats
En août 2023, la CNIL a contrôlé le site web « shein.com », et a constaté des manquements aux obligations relatives aux traceurs[1]. La filiale européenne du groupe SHEIN (ci-après « SHEIN ») avait en effet installé certains traceurs sans le consentement des internautes, ne respectait pas leurs choix et ne les informait pas correctement sur l’usage de ces données.Pour ces motifs, la CNIL a infligé une amende de 150 millions d’euros. Le montant de cette sanction peut paraitre élevé mais reflète la gravité et la répétition des manquements, ainsi que l’ampleur du traitement concerné, affectant en moyenne 12 millions de visiteurs résidant en France mensuellement.
La formation restreinte de la CNIL a également rappelé que des sanctions similaires avaient été prononcées depuis 2020 pour des faits comparables, soulignant l’importance du respect des obligations en matière de protection des données personnelles.
Les manquements constatés par la CNIL, justifiant cette sanction, sont les suivants :
| MANQUEMENTS | PRECISIONS |
| Absence de recueil du consentement | Des traceurs (marketing notamment), notamment à finalité publicitaire, étaient déposés dès l’arrivée des utilisateurs sur le site, avant toute interaction avec le bandeau d’information. |
| Bandeaux d’information incomplets | Deux interfaces de gestion des traceurs étaient proposées, mais elles ne mentionnaient pas la finalité publicitaire des traceurs. La seconde fenêtre qui « popait » ne contenait qu’un bouton d’acceptation, sans autre information. |
| Information de second niveau insuffisante | Le détail concernant l’identité des tiers susceptibles de déposer des traceurs n’était pas fourni dans la section « Paramètres des cookies ». |
| Refus et retrait du consentement inefficaces | Malgré l’option « Tout refuser » ou le retrait du consentement, de nouveaux traceurs étaient déposés et ceux déjà présents continuaient d’être lus. |
En outre, dans la mesure où une remédiation du site concerné a été effectuée en cours de procédure, la formation restreinte de la CNIL n’a pas procédé à une injonction de mise en conformité[2]
La gestion des cookies est l’un des volets les plus « accessibles » de la conformité au RGPD et à la loi Informatique et Libertés.
En effet, contrairement à d’autres remédiations plus complexes, il suffit souvent d’adapter l’interface d’information et de paramétrage (CMP) pour garantir le respect des droits des utilisateurs. En ce sens, ne pas se conformer à ces règles expose l’entreprise à des risques juridiques importants alors même que la mise en conformité est techniquement peu coûteuse et facilement déployable.
D’autant plus que la CNIL procède régulièrement à des contrôles en ligne pour vérifier le respect des règles relatives aux cookies et autres traceurs. Cette facilité technique de contrôle place les sites internet en première ligne des sanctions, notamment pour les grandes plateformes mais aussi pour les plus petits sites.
Pourtant, si de nombreux sites tardent à se mettre en conformité, c’est en grande partie en raison d’un dilemme. Un dilemme à appliquer pleinement les règles, malgré les risques juridiques et réputationnels encourus.
En effet, la publicité ciblée constitue une source de revenus nettement plus lucrative que la publicité non ciblée... En ce sens, l’usage des traceurs accroît la rentabilité en permettant une publicité ciblée plus efficace, mais le respect du consentement des utilisateurs réduit le volume de données exploitables et impacte directement les revenus des sites. Ce dilemme explique la réticence de certaines entreprises à appliquer pleinement les règles, malgré les risques juridiques et réputationnels encourus.
Mais, au-delà du risque de sanction, la conformité en matière de cookies participe à l’image de sérieux et de responsabilité de l’entreprise. Dans un contexte de concurrence accrue et de sensibilité des consommateurs aux questions de vie privée, afficher un site conforme aux exigences de la CNIL permet de se distinguer et de renforcer la relation de confiance avec les clients et prospects.
Cette tension entre rentabilité économique et respect des droits fondamentaux soulève une question plus large : comment démontrer aux entreprises que la non-conformité représente un risque supérieur aux bénéfices immédiats ? A méditer…
***
Le cabinet HAAS Avocats, spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle, est à votre disposition pour vous accompagner dans vos démarches de conformité et pour répondre à toutes vos interrogations sur la régulation des plateformes numériques. Pour nous contacter, cliquez ici.
[1] La formation restreinte a souligné dans sa délibération que la société avait procédé à des modifications de son site internet au cours de la procédure, rendant inutile le prononcé d’injonctions de mise en conformité.
[2] Article 82 de la loi Informatique et Libertés