Par Anne-Charlotte Andrieux et Vickie Le bert
Depuis l’adoption de ses lignes directrices et recommandations relatives aux cookies et autres traceurs le 17 septembre 2020, la Commission Nationale de l’Informatique et des Libertés a initié une stratégie globale de mise en conformité auprès des acteurs français et étrangers dont les pratiques seraient contraires à la règlementation relative aux cookies.
Ayant laissé jusqu’au 31 mars 2021 aux sites et applications pour se mettre en conformité, la Commission a depuis lors procédé à diverses séries de contrôles, s’étant pour certains soldés par l’envoi de mises en demeure, le cas échéant suivies de prise de sanctions.
Ainsi, depuis mai 2021, ce sont près d’une soixantaine d’organismes ne permettant pas aux internautes de refuser les cookies aussi simplement que de les accepter qui ont fait l’objet d’une mise en demeure, et les vérifications menées par la CNIL suite à leur envoi ont permis de constater qu’un certain nombre des acteurs visés n’offraient toujours pas cette possibilité aux internautes. En conséquence, courant décembre 2021, c’est une trentaine de nouvelles mises en demeure pour non-conformité qui ont été adressées par le gendarme français.
La CNIL a également profité de cette dernière vague de mises en demeure pour avertir les acteurs concernés que d’autres campagnes de vérifications et de mesures correctrices allaient être prochainement menées, aux fins d’assurer le respect de la vie privée des internautes français.
La Commission n’a pas tardé à mettre en pratique ces affirmations, frappant particulièrement fort en ce début d’année 2022. Le 6 janvier dernier, elle a en effet prononcé, à l’encontre des sociétés Google et Meta (anciennement Facebook) des sanctions records de 150 millions et 60 millions d’euros pour non-respect de la législation sur les cookies et autres traceurs.
Les manquements constatés
Les lignes directrices et recommandations du 17 septembre 2020, dont l’objectif est de permettre aux internautes d’exercer un meilleur contrôle sur les traceurs en ligne, sont venues reconnaître plusieurs grands principes, notamment axés autour du consentement de l’internaute :
- La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute
- Le consentement au dépôt de traceurs doit se matérialiser par un acte positif clair (par exemple, cliquer sur un bouton « j’accepte » inséré dans une bannière cookies)
- Les internautes doivent être en mesure de retirer leur consentement à tout moment, et aussi facilement qu’ils l’ont donné
Après une série de contrôles menés sur les sites facebook.com, google.fr et youtube.com, la CNIL a constaté que ces derniers n’étaient pas conformes avec la législation en vigueur en matière de cookies, et notamment avec l’article 82 de la Loi Informatique et Liberté prévoyant l’obligation de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture des cookies et autres traceurs.
Les sites épinglés par la CNIL offrent en effet la possibilité aux internautes d’accepter immédiatement l’ensemble des cookies en cliquant sur un bouton unique… mais sans prévoir de solution semblable pour, à l’inverse, leur permettre de tous les refuser.
Le gendarme français a ainsi pu constater qu’alors que les utilisateurs du moteur de recherche Google n’ont qu’une seule action à effectuer pour accepter les cookies, ils doivent en réaliser cinq pour les refuser : « le premier clic sur le bouton " Personnaliser ", puis un clic sur chacun des trois boutons pour sélectionner " Désactivé " - chaque bouton correspondant à la " personnalisation de la recherche ", l’" historique YouTube " et la " personnalisation des annonces " - et enfin un clic sur " Confirmer " ».
Sur le réseau social, le constat est le même. Alors qu’une seule action est nécessaire pour accepter les cookies, trois sont requises pour les refuser : « cliquer sur le bouton intitulé " Gérer les paramètres de données " situé au-dessus du bouton " Accepter les cookies " de la première fenêtre, faire défiler l’intégralité du contenu de la seconde fenêtre, notamment pour constater que les deux boutons glissants commandant le dépôt de cookies publicitaires sont désactivés par défaut, et enfin cliquer sur le bouton " Tout accepter " situé au bas de cette seconde fenêtre ».
Le principe selon lequel les internautes doivent être mis en capacité de refuser aussi simplement les cookies que de les accepter n’était pas respecté.
La compétence matérielle et territoriale de la CNIL
La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes situés en France.
La formation restreinte de la CNIL est également venue reconnaitre sa compétence territoriale, en application de l’article 3 de la Loi Informatique et Libertés disposant que l’ensemble de ses dispositions s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France.
Elle estime en effet que le recours aux cookies est en l’espèce effectué dans le cadre des activités des sociétés Facebook France et Google France, établissements en France des sociétés Meta et Google LLC et Google Ireland Limited.
Les sanctions prononcées
Dans le cadre de son pouvoir de sanction, la CNIL est en mesure de prononcer des sanctions pouvant aller jusqu’à 2% du chiffre d’affaires annuel de l’entreprise en cas de non-respect des obligations du responsable de traitement ou du sous-traitant. Si dans ces deux affaires Meta et Google, la Commission n’est pas allée jusque-là, le montant des amendes prononcées reste toutefois exemplaire.
Google, qui avait par ailleurs été avertie en 2021 par la Commission de l’existence de ses manquements, s’est ainsi vu infliger une amende de 150 millions d’euros : 90 millions pour Google LLC et 60 millions pour Google Ireland Limited.
Cette amende record, dont le montant est le plus important jamais prononcé par la CNIL, se justifie par le nombre de personnes concernées, ainsi que par l’importance des bénéfices que les sociétés Google tirent des revenus publicitaires indirectement générés à partir de l’ensemble des données récoltées grâce aux cookies.
Le groupe Meta, quant à lui, écope d’une amende de 60 millions d’euros, montant également justifié par le nombre de personnes concernées et par l’importance des revenus tirés des revenus publicitaires indirectement générés à partir des données collectées par les cookies.
Enfin, les deux sociétés américaines ont été enjointes à se mettre en conformité dans un délai de trois mois avec la législation sur les cookies, sous peine d’une astreinte de 100 000 euros par jour de retard. Elles devront ainsi offrir aux internautes, afin de garantir la liberté de leur consentement, un moyen leur permettant de refuser les cookies aussi simplement que de les accepter.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles. Pour nous contacter, cliquez-ici.
