CNIL – Cookies : Sanctions de 100M€ pour Google et de 35M€ pour Amazon

Le 7 décembre 2020, la CNIL a prononcé deux sanctions records d’un montant de 100 millions d’euros à l’encontre des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED (60 et 40M€ respectivement), et de 35 millions d’euros à l’encontre la Société AMAZON EUROPE CORE  pour non respect de règles relatives aux cookies.

La CNIL leur reproche d’avoir :

  • déposé des cookies publicitaires sans consentement préalable des utilisateurs;
  • un défaut voire une inexistence d’information complète ; et
  • pour Google seulement, une défaillance partielle des moyens d’opposition.

Dans les deux cas la CNIL s’est estimé compétente du fait que, selon elle, le mécanisme de coopération entre les autorités de protection des données, prévu au RGPD ne s’applique pas à ce qui relève de la règlementation cookies prévues dans la directive e-privacy 2002/58/CE.

Le contexte

Suite à des contrôles effectués le 12 décembre 2019 et le 19 mai 2020 sur le site web amazon.fr et un contrôle effectué sur le site google.fr le 16 mars 2020, la CNIL a constaté que des cookies, dont certaines étaient à des fins publicitaires, étaient automatiquement déposés sur l’ordinateur des utilisateurs, sans action de leur part.

Les manquements relevés par la CNIL

la CNIL a relevé trois violations à l’article 82 de la loi Informatique et Libertés ( relatif aux cookies).

Défaut de recueil préalable du consentement de l’utilisateur

Comme indiqué précédemment, Google et Amazon déposaient automatiquement des cookies publicitaires sur l’ordinateur des utilisateurs de leur site web respectif sans action de leur part et donc sans obtenir leur consentement préalable.  

Ainsi, la CNIL a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Défaut d’information des utilisateurs préalable

Sur la page google.fr, un bandeau d’information en pied de page et portant la mention « Rappel concernant les règles de confidentialité de Google » et deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant », ne fournissait aucune information relative aux cookies.

Cette information n’était pas non plus fournie après avoir cliqué sur le bouton « Consulter maintenant ».

En ce qui concerne Amazon, la CNIL a relevé sur le site amazon.fr, les informations fournies n’étaient ni claires ni complètes dans la mesure où le bandeau d’information contenant la mention suivante « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus », n’était qu’une description générale et approximative des finalités de l’ensemble des cookies déposés.

Selon la CNIL, l’utilisateur n’était pas mis en mesure de comprendre que les cookies déposés sur son ordinateur avaient pour objectif de lui afficher des publicités personnalisées et n’indiquait pas non plus à l’utilisateur son droit et les moyens de refuser dont il dispose.

Par ailleurs, lorsque l’utilisateur se rendait sur le site amazon.fr après avoir cliqué sur une annonce publicitaire publiée sur un site tiers, aucune information prélable n’était délivrée.

La défaillance partielle du mécanisme « d’opposition »

Dans le cas de Google, si utilisateur désactivait la personnalisation des annonces sur la recherche Google, un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La CNIL a donc estimé que le mécanisme « d’opposition » était partiellement défaillant.

Les sanctions records prononcées par la CNIL

La CNIL a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, et d’une amende de 35 millions d’euros pour Amazon Europe Core soit 2% de son chiffre d’affaire annuel.

Bien que Google et Amazon aient, depuis, mis à jour leur mention d’information cookies et ont cessé de déposer automatiquement les cookies publicitaires sans consentement, leur nouveau bandeau d’information ne permettent toujours pas aux utilisateurs de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informe toujours pas du fait qu’ils pouvaient refuser ces cookies.

La CNIL a donc également adopté une injonction sous astreinte afin qu’Amazon et Google mettent leur mention d’information en conformité avec l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification sous astreinte de 100 000 euros par jour de retard.

La compétence de la CNIL et la non-application du mécanisme de coopération

Si l’on avait appliqué le mécanisme de guichet unique prévu au RGPD, les autorités d’Irlande et du Luxembourg étaient respectivement compétentes.

Toutefois la CNIL a rappelé qu’elle était matériellement et territorialement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs situés en France dans la mesure où ces dispositions ne relèvent pas du RGPD mais de la directive e-privacy 2002/58/CE.

Concernant la compétence matérielle et le non recours au disposition du guichet unique

La décision indique que la CNIL est compétente dès lors que :

« Les opérations concernées sont effectuées dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications  et qu’elles concernent exclusivement des actions de lecture et d’écriture sur le terminal des internautes situés en France lorsque ceux-ci se rendent sur le site Amazon.fr, opérations qui se matérialisent par le dépôt et la lecture de cookies. « 

Pour cela, la CNIL s’appuie notamment sur le considérant 173 du RGPD qui indique que le RGPD ne s’applique pas aux dispositions spécifiques de la directive e-privacy.

En effet, elle considère que l’article 5 de la directive e-privacy est une disposition spéciale puisqu’elle exige l’obtention d’un consentement au dépôt des cookies sans laisser la possibilité de se reposer sur d’autres bases légales prévues au RGPD. Par ailleurs, l’article 15 bis de cette même directive modifiée en 2009 par la directive 2009/136, prévoit des mécanismes de contrôle propre qui relèvent de chaque Etat membre et non du mécanisme de guichet unique.

Par ailleurs, l’autorité de contrôle compétente pour la règlementation cookies n’est pas toujours une autorité en charge de la protection de données dans tous les Etats membres, ce qui excluent, selon la CNIL, la possibilité d’appliquer la procédure de guichet unique, cette dernière ne s’appliquant qu’aux autorités de protection des données.

Concernant la compétence territoriale de la CNIL 

La CNIL fait application de l’article 3 de loi informatique et libertés dans la mesure où dans ce cas, la directive 2002/58/CE n’a pas de disposition spécifique et que les dispositions relatives au guichet unique ne sont pas applicables.

Ainsi, comme le prévoit d’ailleurs le RGPD, la CNIL est compétente dès lors que les opérations sont effectués dans le cadre des activités d’un établissement de ces sociétés situé en France (ex : AMAZON ONLINE France SAS ou Google France) même si la maison mère est en pratique, le responsable de la mise en œuvre des cookies (ex : Amazon Europe Core et Google Ireland Limited conjointement avec Google LLC).

Pour lire la décision de la CNIL , voici les liens ci-après : Google et Amazon

CNIL – Cookies : Sanctions de 100M€ pour Google et de 35M€ pour Amazon
Étiqueté avec :