En application de ses lignes directrices, la CNIL a condamné Google et Facebook au paiement de lourdes amendes administratives en raison de la non-conformité de leurs mécanismes de collecte du consentement au dépôt de cookies et autres traceurs.
Seulement un an après une première condamnation de Google au paiement de deux amendes d’un montant total de 100 millions d’euros, confirmée par le Conseil d’État[1], pour non-respect de plusieurs dispositions relatives aux cookies et autres traceurs, la CNIL prononce une nouvelle condamnation à l’encontre de Google et de Facebook.
En cause, cette fois-ci, les mécanismes implémentés par les entreprises permettant à un utilisateur d’accepter ou de refuser le dépôt de cookies ou autres traceurs sur son terminal.
Le cadre applicable au dépôt de traceurs
Au titre de l’article 82 de la Loi Informatique et Libertés[2] transposant la directive n° 2002/58 dite « ePrivacy », les responsables de traitement et sous-traitants sont soumis à des règles strictes pour recueillir le consentement des internautes résidant en France avant de déposer des cookies sur leurs terminaux. Les internautes doivent notamment être informés, préalablement au dépôt de traceurs, de leur finalité et des moyens dont ils disposent pour s’y opposer. Le dépôt ne peut avoir lieu que si l’internaute y a consenti après avoir reçu ces informations.
La CNIL n’avait pas attendu l’adoption du futur règlement ePrivacy, toujours en discussion au niveau des instances européennes, et avait publié le 17 septembre 2020 une version modifiée de ses lignes directrices et recommandations relatives aux cookies et autres traceurs[3], prenant notamment en compte la décision du Conseil d’État en matière de cookie-walls.
En effet, dans une première version de ses lignes directrices, la CNIL avait adopté une posture d’interdiction par principe des cookie-walls, c’est-à-dire des pratiques qui consistent à bloquer l’accès au contenu d’un site internet en cas de refus de l’utilisateur au dépôt de cookies sur son terminal. Dans une décision du 19 juin 2020[4], le Conseil d’État avait partiellement annulé cette ancienne version des lignes directrices, considérant que la CNIL avait excédé ses attributions en édictant une telle interdiction générale.
Dans ses nouvelles lignes directrices, la CNIL pose le principe selon lequel le consentement au dépôt de cookies et autres traceurs sur un terminal n’est valable que s’il est aussi simple pour l’internaute d’accepter que de refuser ce dépôt.
En outre, la CNIL considère dorénavant que la poursuite de la navigation ne pourra être considérée comme une expression valide du consentement de l’internaute. Cette position se justifie par l’exigence d’un acte positif clair de l’internaute au dépôt de cookies pour que le consentement de ce dernier puisse être considéré comme valide.
Enfin, les nouvelles lignes directrices renforcent l’obligation d’information due aux internautes, dans la mesure où ces derniers doivent être informés de l’identité de tous les acteurs utilisant des traceurs et des finalités de ces derniers avant de donner leur consentement. Ils doivent également être préalablement informés des conséquences en cas d’un refus à leur dépôt.
Les entreprises concernées disposaient d’un délai de six mois pour se mettre en conformité avec ces nouvelles obligations.
Des mécanismes non-conformes pour le recueil du consentement
En violation de ces nouvelles lignes directrices, les sites web Facebook.com, Google.fr et Youtube.com ont opté pour un système de recueil du consentement à double étape. Ce système permettait d’accepter le dépôt de cookies et autres traceurs en un seul clic, alors que le mécanisme de refus était composé d’au moins deux étapes, de sorte que l’expression d’un refus n’était pas aussi simple que celle d’une acceptation.
La CNIL a considéré que ces pratiques portaient atteinte à la liberté du consentement des utilisateurs. En effet, elle a estimé que « les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement ».
Dès lors, découragés à refuser les cookies, les internautes étaient de facto incités à opter pour la facilité du bouton « J’accepte ».
Ce manquement a été sanctionné de deux amendes d’un montant total de 150 millions d’euros à l’encontre des sociétés Google LLC et Google Ireland Limited et d’une amende de 60 millions d’euros à l’encontre de la société Facebook Ireland Limited.
Outre la publication des délibérations et en complément des sanctions pécuniaires, l’autorité de contrôle a enjoint aux sociétés de se mettre en conformité dans un délai de trois mois sous astreinte de 100 000 euros par jour de retard. Elles devront pour ce faire proposer aux internautes situés en France une solution (bouton ou autre) permettant de refuser les cookies aussi simplement que de les accepter.
La CNIL confirme sa compétence pour sanctionner les manquements à la directive ePrivacy
Par ailleurs, les deux sociétés américaines contestaient la compétence de la CNIL en raison du mécanisme dit du « Guichet Unique » ou One Stop Shop introduit par le Règlement Général sur la Protection des Données (RGPD). Ce principe permet à un responsable de traitement réalisant des traitements transfrontaliers de données de bénéficier d’un interlocuteur unique et, à l’exception de certaines situations spécifiques, de n’avoir à traiter qu’avec une seule autorité nationale de protection des données.
Or, Facebook et Google soutenaient toutes deux que la CNIL n’était pas compétente pour rendre ses décisions dans la mesure où elle n’était pas leur autorité chef de file.
Faisant application de sa position dorénavant constante et confirmée par le Conseil d’État, la CNIL rappelle que si les dispositions du RGPD peuvent donner lieu à l’application de ce mécanisme du guichet unique, tel n’est pas le cas des obligations prévues par la directive ePrivacy pour laquelle aucun mécanisme de ce type n’est prévu. Or, les procédures de sanction en cause étaient fondées non sur le RGPD, mais sur l’article 82 de la Loi Informatique et Libertés transposant la directive ePrivacy. Dès lors, Google et Facebook ne pouvaient se prévaloir du mécanisme du guichet unique pour contester la compétence de la CNIL.
Lire les condamnations de la CNIL à l’encontre de Google et Facebook
[1] Conseil d’Etat, 28 janvier 2022, n°449209
[2] Article 82 de la Loi Informatique et Libertés
[3] Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la Loi Informatique et Libertés modifiée