La CNIL et les affaires récentes en matière de protection des données personnelles
Autorité française en matière de protection des données personnelles, la CNIL a récemment prononcé d’importantes sanctions à l’encontre de Google, Facebook et Amazon pour des violations des dispositions de la loi Informatique et Libertés relatives à l’utilisation des cookies.
Avant de revenir sur ces décisions historiques prononcées en matière d’utilisation de cookies (II), il convient de présenter la CNIL et en particulier son pouvoir de sanction mis en œuvre dans le cadre de la protection des données personnelles (I).
I. Les rôles et pouvoirs de sanction de la CNIL dans le cadre de la protection des données personnelles
La CNIL a été créée par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la “loi Informatique et Libertés”). Elle est notamment chargée de s’assurer que les traitements de données à caractère personnel sont conformes aux dispositions de cette loi ainsi qu’aux règlements européens[1].
Ainsi, la CNIL poursuit quatre actions principales. Premièrement, elle informe et protège les droits des personnes concernées par des actions de communication et en réceptionnant des demandes de particuliers et de professionnels. Deuxièmement, afin d’aider les organismes privés et publics à se conformer au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (“RGPD”), la CNIL accompagne ces organismes et les conseille sur des questions de conformité. Troisièmement, la CNIL assure une veille concernant les nouvelles technologies et nouveaux usages afin d’innover et d’anticiper au maximum. Quatrièmement, elle a une fonction de contrôle et de sanction.
L’article 20 de la loi Informatique et Libertés accorde en effet à la CNIL le pouvoir de prononcer diverses sanctions en cas de violation des dispositions légales et réglementaires applicables[2]. Elle peut prononcer un rappel à l’ordre, enjoindre de mettre le traitement en conformité, y compris sous astreinte, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes et prononcer des amendes administratives[3].
En 2021, elle a reçu un chiffre record de 14 143 plaintes, a réalisé 384 contrôles et a prononcé 135 mises en demeure et 18 sanctions pour un montant cumulé jamais atteint[4].
II. Les récentes sanctions prononcées par la CNIL en matière d’utilisation des cookies
Dans l’attente du futur règlement européen ePrivacy, qui est en cours d’élaboration, la CNIL a publié le 16 mai 2022 des premiers critères d’évaluation de la régularité des “cookie wall” ou “mur de traceur”. Selon la CNIL, l’expression “cookie wall” ou “mur de traceur” “désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal”[5].
Quatre questions doivent être posées afin de déterminer la validité de ces “cookies walls” : (i) est-ce que l’internaute qui a refusé ces traceurs a une alternative équitable pour accéder au contenu[6], (ii) existe-t-il une alternative payante raisonnable[7], (iii) est-ce que le site impose d’accepter l’intégralité des cookies[8], et enfin, (iv) si le choix payant est fait, est-ce que le dépôt de traceurs est fait de manière conforme aux cas limités le permettant[9].
A l’aune de ces critères, la CNIL a récemment rendu plusieurs décisions importantes à l’encontre de Amazon (1), Google (2) et Facebook (3) pour violation de l’article 82 de la loi Informatique et Libertés portant sur l’utilisation des cookies[10].
A. La sanction pécuniaire de 35 millions d’euros infligée à la société Amazon Europe Core
Le 7 décembre 2020, la CNIL a infligé une sanction de 35 millions d’euros à la société Amazon Europe Core[11]. Elle a relevé deux manquements à l’article 82 de la loi Informatique et Libertés, concernant le dépôt de cookies[12]. Elle a constaté que, quel que soit le chemin emprunté par les utilisateurs pour visiter le site, ils étaient insuffisamment – voire jamais – informés du fait que des cookies étaient déposés sur leur ordinateur[13].
Par ailleurs, la CNIL a considéré qu’elle était territorialement compétente, car l’utilisation des cookies était réalisée dans le “cadre des activités” de la société Amazon France, qui en est “l’établissement” de la société Amazon Europe Core sur le territoire français et qui assure la promotion de ses produits et services[14].
Dans une décision du 27 juin 2022, le Conseil d’Etat a récemment confirmé la décision de la CNIL et validé la proportionnalité de la sanction en soulignant que, en raison de l’ampleur des traitements réalisés par la société, de la nature potentiellement sensible des données collectées, et de l’avantage financier retiré des manquements qui lui ont permis de personnaliser les annonces adressées aux utilisateurs, les manquements retenus revêtaient une particulière gravité[15]. Le Conseil d’Etat a relevé que selon l’article 83 du RGPD, toute amende imposée par les autorités de contrôle des Etats membres devait être proportionnée notamment en fonction de la nature, gravité, durée de la violation, du degré de coopération avec l’autorité, des catégories de données personnelles en question et de toute autre circonstance aggravante ou atténuante[16]. Le Conseil d’Etat a jugé que, eu égard à gravité des manquements et à leurs effets sur les utilisateurs situés en France, aux plafonds prévus par l’article 83 du RGPD, la CNIL avait suffisamment motivé sa décision et n’avait pas à se prononcer sur l’ensemble des critères de l’article 83[17].
B. La sanction pécuniaire de 150 millions d’euros infligée à Google
Le 31 décembre 2021, la CNIL a sanctionné la société Google LLC d’une amende de 90 millions d’euros et la société Google Ireland Limited d’une amende de 60 millions d’euros[18]. Dans sa décision, la CNIL a retenu que les sites web google.fr et youtube.com ne mettaient pas en place de solution pour permettre à l’internaute de refuser facilement le dépôt des cookies. En effet, plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter, et cela constituait une atteinte à la liberté du consentement des internautes[19].
S’agissant de sa compétence territoriale qui était contestée, la CNIL a constaté que le traitement des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search et de YouTube était effectué dans le “cadre des activités” de la société Google France, qui correspond “l’établissement” sur le territoire français du groupe Google[20].
Cette décision n’a pas fait l’objet d’un recours à ce jour.
C. Sanction pécuniaire de 60 millions d’euros infligée à Facebook Ireland Limited
Le 31 décembre 2021 également, la CNIL a infligé à Facebook Ireland Limited une amende de 60 millions d’euros[21]. Elle a relevé que rendre le mécanisme de refus plus complexe décourageait les utilisateurs à refuser les cookies et les incitait à utiliser le bouton de consentement qui était plus facile d’accès[22]. De plus, elle a considéré que le parcours informationnel mis en œuvre par Facebook Ireland Limited n’était pas clair puisque, pour refuser le dépôt de cookies, les internautes devaient faire défiler les paramètres des données et cliquer sur un bouton intitulé “Accepter les cookies”[23]. Par conséquent, la CNIL a considéré que la société avait violé la loi Informatique et Libertés[24].
Dans le cadre de cette sanction, la CNIL a aussi enjoint Facebook à “modifier, sur le site web » facebook.com », les modalités de recueil du consentement des utilisateurs situés en France aux opérations de lecture et/ou d’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement”[25] sous peine d’une astreinte de 100 000 euros par jour de retard[26].
Le 11 juillet 2022, la formation restreinte de la CNIL a clôturé l’injonction prononcée. Dans son communiqué de presse, la CNIL a toutefois précisé que cette décision de clôture ne préjugeait pas de son analyse portant notamment sur l’exigence de fournir une information claire et complète ou à celle de recueillir un consentement finalité par finalité[27].
En conclusion, il ressort des développements précédents que la CNIL n’hésite pas à imposer de lourdes sanctions pour garantir une protection effective des droits des internautes, y compris à l’égard d’opérateurs étrangers. D’ailleurs, des dires du lanceur d’alerte Peiter Zatko, ancien salarié de Twitter, “Twitter est terrifié par la Cnil, bien plus que par la FTC [i.e. la Federal Trade Commission américaine]”[28].
Contenu similaire
Analyse
9 mars 2023
Sanctions historiques imposées par l’Autorité des marchés financiers
La Commission des sanctions de l’AMF impose à une société de gestion de portefeuille britannique et à deux de ses...
Analyse
24 janvier 2023
Décision du 28 janvier 2022 : Le Conseil constitutionnel revient sur le dispositif de sanction...
Le 28 janvier 2022, le Conseil constitutionnel a rendu une décision déclarant inconstitutionnel l’article L. 621-15, II, f du code...
Revue de presse
25 novembre 2022
Revue de presse – Semaine du 21 novembre 2022
Cette semaine vous découvrirez l’ouverture d’une enquête préliminaire du parquet national financier pour détournement de fonds publics. Par ailleurs, vous...
Analyse
21 novembre 2022
CJIP Crédit Suisse pour blanchiment aggravé de fraude fiscale et démarchage illicite
Le Crédit Suisse échappe aux poursuites judiciaires et accepte le paiement d’une amende d’intérêt public de 123 000 000 d’euros...
Revue de presse
18 novembre 2022
Revue de presse – Semaine du 14 novembre 2022
Cette semaine vous découvrirez trois évènements marquants : la première condamnation en France d’un ancien chef rebelle libérien par la...
Analyse
18 novembre 2022
Les récentes sanctions de Google par l’Autorité de la concurrence : serveurs publicitaires et droits...
En 2021, l’Autorité de la concurrence a infligé plusieurs amendes à Google pour s’être livré à des pratiques anticoncurrentielles liées...
Revue de presse
28 octobre 2022
Revue de presse – Semaine du 24 octobre 2022
Cette semaine vous découvrirez plusieurs évènements importants sur le plan judiciaire. En effet, une convention judiciaire d’intérêt public ("CJIP") entre...
Analyse
12 octobre 2022
Discussions autour des secrets dans les procédures répressives et de la régulation en matière de...
Le 5 octobre 2022 s’est tenu le colloque annuel de la Commission des sanctions de l’AMF. A cette occasion, des...
Analyse
14 juillet 2022
Le droit au silence lors des investigations de l’Autorité des Marchés Financiers
Le droit au silence est un droit porté au rang de principe constitutionnel en matière pénale. Or, il s’avère que...
Revue de presse
29 avril 2022
Revue de presse – Semaine du 25 avril 2022
Dans cette revue de presse, vous retrouverez des articles détaillant les dernières évolutions de la procédure pénale, aussi bien en...
Événement
25 avril 2022
Point sur la justice négociée et la Convention judiciaire d’intérêt public à travers le monde...
Stéphane de Navacelle est intervenu lors de la conférence annuelle de l'International Law Section organisée par l'American Bar Association....
Revue de presse
22 avril 2022
Revue de presse – Semaine du 18 avril 2022
Dans cette revue de presse, vous retrouverez des articles retraçant les évolutions récentes du droit pénal des affaires et de...
Nous utilisons des cookies pour optimiser notre site web et notre service.
Fonctionnel
Toujours activé
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Préférences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiques
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.