Ces dernières années, la Commission Nationale de l’Informatique et des Libertés (la “CNIL”) a prononcé d’importantes sanctions à l’encontre de plusieurs sociétés américaines du secteur de la tech, et notamment Google, Facebook et Amazon.

Avant de revenir sur ces décisions historiques prononcées en matière d’utilisation de cookies (II), il convient de présenter la CNIL et en particulier son pouvoir de sanction mis en œuvre dans le cadre de la protection des données personnelles (I).

I. Les rôles et pouvoirs de sanction de la CNIL dans le cadre de la protection des données personnelles

La CNIL a été créée par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la “loi Informatique et Libertés”). Elle est notamment chargée de s’assurer que les traitements de données à caractère personnel sont conformes aux dispositions de cette loi ainsi qu’aux règlements européens[1].

Ainsi, la CNIL poursuit quatre actions principales. Premièrement, elle informe et protège les droits des personnes concernées par des actions de communication et en réceptionnant des demandes de particuliers et de professionnels. Deuxièmement, afin d’aider les organismes privés et publics à se conformer au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (“RGPD”), la CNIL accompagne ces organismes et les conseille sur des questions de conformité. Troisièmement, la CNIL assure une veille concernant les nouvelles technologies et nouveaux usages afin d’innover et d’anticiper au maximum. Quatrièmement, elle a une fonction de contrôle et de sanction.

L’article 20 de la loi Informatique et Libertés accorde en effet à la CNIL le pouvoir de prononcer diverses sanctions en cas de violation des dispositions légales et réglementaires applicables[2]. Elle peut prononcer un rappel à l’ordre, enjoindre de mettre le traitement en conformité, y compris sous astreinte, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes et prononcer des amendes administratives[3].

En 2021, elle a reçu un chiffre record de 14 143 plaintes, a réalisé 384 contrôles et a prononcé 135 mises en demeure et 18 sanctions pour un montant cumulé jamais atteint[4].

II. Les récentes sanctions prononcées par la CNIL en matière d’utilisation des cookies

Dans l’attente du futur règlement européen ePrivacy, qui est en cours d’élaboration, la CNIL a publié le 16 mai 2022 des premiers critères d’évaluation de la régularité des “cookie wall” ou “mur de traceur”. Selon la CNIL, l’expression “cookie wall” ou “mur de traceur” “désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal”[5].

Quatre questions doivent être posées afin de déterminer la validité de ces “cookies walls” : (i) est-ce que l’internaute qui a refusé ces traceurs a une alternative équitable pour accéder au contenu[6], (ii) existe-t-il une alternative payante raisonnable[7], (iii) est-ce que le site impose d’accepter l’intégralité des cookies[8], et enfin, (iv) si le choix payant est fait, est-ce que le dépôt de traceurs est fait de manière conforme aux cas limités le permettant[9].

A l’aune de ces critères, la CNIL a récemment rendu plusieurs décisions importantes à l’encontre de Amazon (1), Google (2) et Facebook (3) pour violation de l’article 82 de la loi Informatique et Libertés portant sur l’utilisation des cookies[10].

A. La sanction pécuniaire de 35 millions d’euros infligée à la société Amazon Europe Core

Le 7 décembre 2020, la CNIL a infligé une sanction de 35 millions d’euros à la société Amazon Europe Core[11]. Elle a relevé deux manquements à l’article 82 de la loi Informatique et Libertés, concernant le dépôt de cookies[12]. Elle a constaté que, quel que soit le chemin emprunté par les utilisateurs pour visiter le site, ils étaient insuffisamment – voire jamais – informés du fait que des cookies étaient déposés sur leur ordinateur[13].

Par ailleurs, la CNIL a considéré qu’elle était territorialement compétente, car l’utilisation des cookies était réalisée dans le “cadre des activités” de la société Amazon France, qui en est “l’établissement” de la société Amazon Europe Core sur le territoire français et qui assure la promotion de ses produits et services[14].

Dans une décision du 27 juin 2022, le Conseil d’Etat a récemment confirmé la décision de la CNIL et validé la proportionnalité de la sanction en soulignant que, en raison de l’ampleur des traitements réalisés par la société, de la nature potentiellement sensible des données collectées, et de l’avantage financier retiré des manquements qui lui ont permis de personnaliser les annonces adressées aux utilisateurs, les manquements retenus revêtaient une particulière gravité[15]. Le Conseil d’Etat a relevé que selon l’article 83 du RGPD, toute amende imposée par les autorités de contrôle des Etats membres devait être proportionnée notamment en fonction de la nature, gravité, durée de la violation, du degré de coopération avec l’autorité, des catégories de données personnelles en question et de toute autre circonstance aggravante ou atténuante[16]. Le Conseil d’Etat a jugé que, eu égard à gravité des manquements et à leurs effets sur les utilisateurs situés en France, aux plafonds prévus par l’article 83 du RGPD, la CNIL avait suffisamment motivé sa décision et n’avait pas à se prononcer sur l’ensemble des critères de l’article 83[17].

B. La sanction pécuniaire de 150 millions d’euros infligée à Google

Le 31 décembre 2021, la CNIL a sanctionné la société Google LLC d’une amende de 90 millions d’euros et la société Google Ireland Limited d’une amende de 60 millions d’euros[18]. Dans sa décision, la CNIL a retenu que les sites web google.fr et youtube.com ne mettaient pas en place de solution pour permettre à l’internaute de refuser facilement le dépôt des cookies. En effet, plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter, et cela constituait une atteinte à la liberté du consentement des internautes[19].

S’agissant de sa compétence territoriale qui était contestée, la CNIL a constaté que le traitement des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search et de YouTube était effectué dans le “cadre des activités” de la société Google France, qui correspond “l’établissement” sur le territoire français du groupe Google[20].

Cette décision n’a pas fait l’objet d’un recours à ce jour.

C. Sanction pécuniaire de 60 millions d’euros infligée à Facebook Ireland Limited

Le 31 décembre 2021 également, la CNIL a infligé à Facebook Ireland Limited une amende de 60 millions d’euros[21]. Elle a relevé que rendre le mécanisme de refus plus complexe décourageait les utilisateurs à refuser les cookies et les incitait à utiliser le bouton de consentement qui était plus facile d’accès[22]. De plus, elle a considéré que le parcours informationnel mis en œuvre par Facebook Ireland Limited n’était pas clair puisque, pour refuser le dépôt de cookies, les internautes devaient faire défiler les paramètres des données et cliquer sur un bouton intitulé “Accepter les cookies”[23]. Par conséquent, la CNIL a considéré que la société avait violé la loi Informatique et Libertés[24].

Dans le cadre de cette sanction, la CNIL a aussi enjoint Facebook à “modifier, sur le site web  » facebook.com », les modalités de recueil du consentement des utilisateurs situés en France aux opérations de lecture et/ou d’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement”[25] sous peine d’une astreinte de 100 000 euros par jour de retard[26].

Le 11 juillet 2022, la formation restreinte de la CNIL a clôturé l’injonction prononcée. Dans son communiqué de presse, la CNIL a toutefois précisé que cette décision de clôture ne préjugeait pas de son analyse portant notamment sur l’exigence de fournir une information claire et complète ou à celle de recueillir un consentement finalité par finalité[27].

En conclusion, il ressort des développements précédents que la CNIL n’hésite pas à imposer de lourdes sanctions pour garantir une protection effective des droits des internautes, y compris à l’égard d’opérateurs étrangers. D’ailleurs, des dires du lanceur d’alerte Peiter Zatko, ancien salarié de Twitter, “Twitter est terrifié par la Cnil, bien plus que par la FTC [i.e. la Federal Trade Commission américaine]”[28].