Les 30 et 31 décembre 2021, la CNIL a respectivement sanctionné :
- la société FACEBOOK IRELAND LIMITED d’une amende d’un montant de 60 millions d’euros; et
- GOOGLE d’une amende d’un montant total de 150 millions d’euros (90 millions d’euros pour GOOGLE LLC et 60 millions d’euros pour GOOGLE IRELAND LIMITED)
parce qu’ils n’ont pas permis aux utilisateurs du réseau social facebook.com, des sites google.fr et youtube.com résidant en France de refuser les cookies aussi facilement que de les accepter.
La CNIL, avait déjà sanctionné Google et Amazon concernant les modalités du consentement et l’information relatives aux dépôts des cookies mais la CNIL avait précisé que ces décisions ne concernaient pas les modalités de refus des cookies dans la mesure où au moment de la procédure, la recommandation CNIL n’était pas encore applicable. Ceci laissait entendre que des contrôles auraient lieu à une date ultérieure.
Ainsi, cette décision rappelle que le bouton « refuser les cookies » ou toute modalité équivalente est aussi important que celui accepter les cookies dans les bannières cookies.
Contexte
Suite à plusieurs plaintes concernant les modalités de refus des cookies et autres traceurs sur les sites Facebook.com, Google.fr et Youtube.com, la CNIL a effectué des contrôles en ligne sur ses sites internet en avril et juin 2021.
Lors de ces contrôles, l’autorité a constaté que les sites proposaient un bouton permettant d’accepter immédiatement le dépôt des cookies mais pas de solution équivalente (bouton ou autre) pour permettre à l’utilisateur de refuser aussi facilement ce dépôt.
Ainsi, elle a constaté, sur chacun de ces sites qu’un seul clic était nécessaire pour accepter les cookies alors qu’il en fallait plusieurs pour les refuser.
Dans le cas de Facebook, la CNIL a également constaté que le bouton permettant de refuser les cookies se situe en bas de la seconde fenêtre et s’intitule « Accepter les cookies ».
Elle a donc considéré que :
- rendre le mécanisme de refus plus complexe revient à décourager les utilisateurs de refuser les cookies et qu’un tel procédé portait atteinte à la liberté du consentement des utilisateurs ;
- le parcours informationnel n’est pas clair dans la mesure où pour refuser les cookies les utilisateurs doivent cliquer sur un bouton intitulé « Accepter les cookies » figurant dans la seconde fenêtre. Cet intitulé porte nécessairement à confusion et peut laisser penser qu’il n’est pas possible de refuser le dépôt de cookies.
Ainsi, les modalités de recueil de consentement qui sont proposées aux utilisateurs ainsi que l’absence de clarté de l’information qui leur est fournie constituent des violations de l’article 82 de la loi Informatique et Libertés.
Les sanctions
Dans les cas présents, la CNIL a compétence pour prononcer une amende administrative dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement (voir ici pour plus d’information sur les sanctions RGPD).
A cause des manquements relevés, la CNIL a donc prononcé les sanctions :
– une amende de 60 millions d’euros à l’encontre de Facebook Ireland Ltd
– une amende d’un montant total de 150 millions d’euros à l ‘encontre de GOOGLE (90 millions d’euros pour GOOGLE LLC et 60 millions d’euros pour GOOGLE IRELAND LIMITED)
S’ajoute à ces sanctions, une injonction sous astreinte de 100 000 euros par jour de retard, de mettre à disposition des internautes situés en France, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter.
La détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD (ex : durée et gravité de l’infraction, nombre de personnes concernées, élements intentionnel etc.)
Bien que la CNIL rappelle également, dans la décision Google, que le rapporteur n’est pas tenu de préciser la manière dont les amendes proposée sont calculées, elle justifie les sanctions notamment sur les bases des éléments suivants :
- la portée du traitement, le nombre de personnes concernées et par les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par les cookies (ex : il est retenu que Google.fr comptait plus de 51 millions de visiteurs uniques résidant en France par mois et YouTube plus de 46 millions (communiqué de presse du 24 août 2020 publié sur le site web de Médiamétrie) ;
- à cet effet, dans les deux affaires, la CNIL fait également application du critère relatif à la gravité du manquement compte tenu de la nature, de la portée du traitement et du nombre de personnes concernées par ces derniers. (de l’article 83, paragraphe 2, a) du RGPD).
- à l’égard de Google, la CNIL a également relevé le fait que les services de la CNIL avaient déjà, en février 2021, attiré l’attention des sociétés GOOGLE sur ce manquement et de manière générale, avait communiqué à de nombreuses reprises sur le fait qu’il doit être aussi simple de refuser les cookies que de les accepter ;
Compétence de la CNIL
Comme elle l’avait déjà relevé dans des décisions précédentes contre Google et Amazon , la CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes situés en France.
En effet, le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») ne s’applique pas dans la mesure où les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy » 2002/58/CE, transposée à l’article 82 de la loi Informatique et Libertés.
La CNIL se considère également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours aux cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et de la société FACEBOOK FRANCE qui constitue « l’établissement » sur le territoire français de la société FACEBOOL IRELAND LTD qui est le responsable de traitement.
CONTACT
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, Avocat
