Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné respectivement GOOGLE et AMAZON EUROPE CORE de 100 millions et 35 millions d’euros d’amende pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir de leurs sites sans consentement préalable et sans information satisfaisante.
Ces sanctions ont été prononcées sur la base de la législation antérieure au RGPD. En effet, l’organe de la CNIL chargé de prononcer les sanctions a relevé deux violations à l’article 82 de la loi Informatique et Libertés (transposition de l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » ou « ePrivacy »).
D’une part, elle reproche à ces géants du numérique la pratique consistant à déposer des cookies non essentiels au service sur l’ordinateur de l’internaute « sans qu’il ait préalablement donné son accord ».
D’autre part, les bandeaux d’information affichés lors de la consultation du moteur de recherche Google search et le site Amazon.fr ne contenaient pas, au moment des contrôles de la CNIL, d’« informations suffisamment claires pour que l’internaute sache ce à quoi servent ces cookies et la façon dont il peut les refuser ».
De plus, la défaillance partielle du mécanisme « d’opposition » a été retenu pour Google uniquement. Autrement dit, lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.
Les importants montants réclamés par la CNIL s’expliquent par gravité des infractions constatées par l’autorité qui « portent atteinte à la vie privée des internautes dans leurs quotidien numérique » puisqu’ils permettent de collecter de nombreuses informations sur les personnes, sans leur consentement, afin de pouvoir par la suite leur proposer des publicités ciblées. En effet, ces deux sanctions sont d’une ampleur quasiment inédite en Europe : l’amende contre Google est la plus importante jamais infligée à ce jour. Le poids des amendes est aussi justifié par la taille de ces sociétés, qui manipulent les données personnelles de dizaines de millions de Français. Enfin, la CNIL a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.
Malgré le fait que les sociétés aient vivement contesté la décision de la CNIL. Celle-ci leur exige de modifier sous trois mois le message qu’elles présentent à leurs utilisateurs pour mieux les informer de leur politique en matière de cookies. Ces trois mois passés, les deux sociétés risquent 100 000 euros d’astreinte par jour de retard.
Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. Le RGPD a renforcé le régime du consentement pour les traceurs publicitaires. La nouvelle législation oblige les sites Internet à afficher, en face du bouton « tout accepter », un bouton « tout refuser » ou une solution équivalente.
Quelles sont les conséquences pour les professionnels ?
La CNIL demande aux sites internet de respecter ces règles par les acteurs concernés. Ainsi, les professionnels et les éditeurs de sites internet doivent donc s’interroger : l’internaute peut-il, en quelques mots simples, comprendre à quoi servent les traceurs publicitaires avant de cliquer sur « accepter » ? Peut-il refuser facilement ou doit-il passer par un paramétrage complexe et donc dissuasif ?
La CNIL commencera à sanctionner les entreprises qui ne satisferont pas aux nouvelles règles à partir du 1er avril 2021.
Sources :
