Par deux délibérations du 31 décembre 2021, la formation restreinte de la CNIL a sanctionné les sociétés Facebook et Google d’une amende administrative d’un montant respectif de 60 et 150 millions d’euros pour non-respect des dispositions de la loi Informatique et Libertés relatives au refus des cookies.
A la suite de nombreuses plaintes portant sur les modalités de refus des cookies sur les sites www.facebook.com, www.google.fr et www.youtube.com, la CNIL a procédé à des opérations de contrôle.
La CNIL constate que ces sites proposent un bouton permettant d’accepter les cookies en un seul clic, mais en revanche ne proposent pas de bouton équivalent pour les refuser. Le bouton permettant de refuser les cookies étant dissimulé dans une page secondaire des sites qui nécessite plusieurs clics pour y accéder.
De plus, concernant le site www.facebook.com, la CNIL considère que l’information délivrée aux internautes concernant le dépôt de cookies n’est pas suffisamment claire dans la mesure où, pour refuser les cookies, ils doivent cliquer sur le bouton « Accepter les cookies » présent sur une seconde fenêtre ce qui crée nécessairement une confusion et laisse penser qu’il est impossible de refuser les cookies.
La CNIL considère que ces processus incitent les internautes à accepter les cookies et portent ainsi atteinte à leur liberté de consentement notamment en violation de l’article 82 de la loi Informatique et Libertés.
Pour rappel, l’article 82 de la loi Informatique et Libertés prévoit que :
« Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s'y opposer. »
Les lignes directrices de la CNIL relatives notamment au refus du consentement en matière de cookies (Délibération n°2020-091 - Article 2 point 30), précisent que « le refus de l’utilisateur ne doit donc nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement ».
Dans ses recommandations (Délibération n°2020-092 – Article 2.4 point), la CNIL précise encore que « les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement. »
Ainsi, refuser les cookies doit être aussi simple que les accepter.
Par ces deux délibérations du 31 décembre 2021, la CNIL considère que les modalités de recueil du consentement aux cookies proposées aux utilisateurs ainsi que l’absence de clarté des informations fournies violent les dispositions de l’article 82 de la loi Informatique et liberté.
Facebook est condamnée à une amende de 60 millions d’euros et Google à une amende de 150.000 millions d’euros, amendes rendues publiques, et justifiées notamment au regard du nombre particulièrement important d’internautes concernés et les bénéfices incontestables générés par ces sociétés à partir des données collectées par les cookies.
En outre, la CNIL enjoint Facebook et Google, sous astreinte de 100.000 euros par jour de retard, de se mettre en conformité avec les dispositions de la loi Informatique et Libertés dans un délai de 3 mois.
La formation restreinte de la CNIL continue ainsi de sévir face au non-respect de la réglementation en matière de cookies.
Alixia TRAINEAU, avocate collaboratrice, Cabinet Artlex
Comentarios