Indigestion de cookies pour Google et Amazon : les amendes records de la CNIL

Indigestion de cookies pour Google et Amazon : les amendes records de la CNIL

Par Gérard Haas et Amanda Dubarry

L’une des meilleures résolutions que pourrait prendre (et tenir) un éditeur de site internet pour l’année 2021 est, sans aucun doute, la mise en conformité de son site avec les dernières recommandations de la CNIL en matière de cookies.

Et pour cause, la CNIL a indiqué, dans un communiqué du 10 décembre 2020[1], avoir infligé une amende de 100 millions d’euros à Google[2] et de 35 millions d’euros à Amazon pour non-respect des règles sur les cookies traceurs.

Ces sanctions interviennent à la suite de contrôles en ligne effectués par la CNIL entre le 12 décembre 2019 et le 19 mai 2020.

En l’espèce, il était notamment reproché à Google et Amazon de déposer automatiquement des cookies publicitaires personnalisés sur le terminal des utilisateurs lors de leur navigation sur leur site, sans avoir recueilli au préalable leur consentement. L’information délivrée aux internautes était également jugée insuffisante.

Cette sanction n’est pas surprenante si l’on considère que le respect des dispositions applicables aux cookies et autres traceurs figurait déjà parmi les 3 axes de contrôles annoncés par la CNIL en 2020.

Cet événement, largement relayé par les médias, a donc le mérite de rappeler à tous les acteurs du numérique l’importance qu’accorde la CNIL au respect des cookies publicitaires.

Quelles leçons en tirer ?

1. Leçon n°1 : même en période de confinement, les responsables de traitements ne sont pas à l’abri d’un contrôle de la CNIL.

Depuis 2014, la CNIL peut effectuer des contrôles en ligne sur les sites internet. Dans ce cas, il s’agit d’un contrôle non contradictoire : les agents de la CNIL contrôlent le site internet du responsable de traitement ou du sous-traitant, à distance, depuis leurs locaux.

Dans ce contexte, les principaux points d’attention vont se concentrer sur la sécurité du site, la licéité des formulaires de collecte, le respect de l’information des personnes et, naturellement, les cookies.

A l’issue du contrôle, les agents formalisent un procès-verbal de constat qui est envoyé au responsable de traitement ou au sous-traitant concerné, qui pourra, a posterori, faire part de ses observations.

2. Leçon n°2 : les éditeurs de site ne peuvent plus se permettre d’ignorer les règles relatives aux cookies

L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (dite directive « ePrivacy »). 

Cet article prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

Au fur et à mesure, la CNIL a enrichi sa doctrine, via notamment la recommandation de 2013, puis avec l’entrée en application du RGPD du 25 mai 2018, a fait évoluer la règlementation relative aux cookies via deux délibérations en date du 17 septembre 2020[3].

Nous ne reviendrons pas sur la règlementation applicable aux cookies facilitant la navigation, qui eux sont exemptés de consentement, pour se focaliser sur les cookies « traceurs » publicitaires.

  • Ces cookies sont soumis à une obligation d’information préalable, qui se fait par le biais d’un bandeau cookie et d’une charte cookies. A cet égard, la finalité des cookies doit être clairement indiquée dans le bandeau, toute formulation vague étant proscrite par la CNIL.

C’est d’ailleurs ce point-là qui a été reproché à Amazon. La CNIL a en effet considéré que le bandeau d’information affiché sur le site Amazon.fr ne contenait qu’une description générale et peu éclairante de la finalité des cookies déposés et n’indiquait pas la possibilité de s’y opposer : « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus »

Le bandeau constitue un premier niveau d’information de l’utilisateur qui doit lui permettre de comprendre les enjeux du dépôt de cookies et les moyens de les accepter ou non.

Ce bandeau doit nécessairement être complété par un deuxième niveau d’information, matérialisé par la charte cookies.

  • En outre, l’éditeur doit obtenir un consentement exprès et non équivoque de l’utilisateur, qui se traduit par un acte positif clair (« OK » ou « paramétrer les cookies »). Aussi, le silence ne vaut pas consentement ; la poursuite de la navigation par l’internaute doit être considérée comme un refus de celui-ci de se voir cibler par des publicités. Il était ainsi reproché à Google et Amazon de procéder au dépôt automatique de cookies, au mépris de l’accord de l’internaute.

Il revient ainsi au responsable de traitement d’apporter la preuve du consentement de l’internaute qui doit, par ailleurs, pouvoir le retirer à tout moment (mécanisme d’opposition).

Ainsi, dans le cas de Google, lorsqu’un utilisateur recourait au mécanisme mis à sa disposition pour refuser les cookies, un des cookies publicitaires restait stocké et actif sur son ordinateur.

3. Leçon n°3- La CNIL peut sanctionner des entreprises situées en dehors de la France.

La CNIL est peut contrôler et sanctionner des entreprises étrangères dès lors qu’elle vise des utilisateurs résidant en France. 

L’article 3 de la loi Informatique et Libertés dispose en outre :

 « I. - Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France.

II.- Les règles nationales prises sur le fondement des dispositions du même règlement renvoyant au droit national le soin d'adapter ou de compléter les droits et obligations prévus par ce règlement s'appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n'est pas établi en France.»

En l’espèce, le recours à des cookies était effectué dans le cadre des activités de la société Amazon France qui constitue « l’établissement » sur le territoire français de la société AMAZON EUROPE CORE.

Concernant Google, la CNIL justifie sa compétence en soulignant que le recours à des cookies est effectué dans le « cadre des activités » de la société Google France qui constitue « l’établissement » sur le territoire français des sociétés Google LLC et Google Ireland Limited et y assure la promotion de leurs produits et services.

La solution pourrait être différente en cas d’application du « mécanisme de guichet unique » prévu par le RGPD[4]. En l’espèce, ce mécanisme n’avait pas lieu de s’appliquer dans la mesure où les opérations liées à l’utilisation des cookies relevaient de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

***

En infligeant des amendes particulièrement élevées aux membres des GAFA, la CNIL envoie un signal fort à tous les acteurs du numérique alors qu’elle a venait tout juste de finaliser ses recommandations sur les cookies et autres traceurs.

Pour rappel, le RGPD prévoit un plafond de sanction pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de contentieux en commerce électronique. N’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici

[1] https://www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core

[2] 60 millions d’euros à l’encontre de Google LLC et 40 millions d’euros à l’encontre de Google Ireland Limited

[3] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée, aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019. Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».

[4] Article 56 et 60 du RGPD. Les organismes qui mettent en œuvre des traitements « transfrontaliers » peuvent bénéficier du mécanisme du « guichet unique » et disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire européen dénommé l’autorité « chef de file ». Par principe, l’autorité chef de file est celle de l’établissement principal ou unique du responsable de traitement ou du sous-traitant.

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin