Analyse
26 octobre 2022

La CNIL et les affaires récentes en matière de protection des données personnelles

Autorité française en matière de protection des données personnelles, la CNIL a récemment prononcé d’importantes sanctions à l’encontre de Google, Facebook et Amazon pour des violations des dispositions de la loi Informatique et Libertés relatives à l’utilisation des cookies.

 

Ces dernières années, la Commission Nationale de l’Informatique et des Libertés (la “CNIL”) a prononcé d’importantes sanctions à l’encontre de plusieurs sociétés américaines du secteur de la tech, et notamment Google, Facebook et Amazon.

Avant de revenir sur ces décisions historiques prononcées en matière d’utilisation de cookies (II), il convient de présenter la CNIL et en particulier son pouvoir de sanction mis en œuvre dans le cadre de la protection des données personnelles (I).

 

I. Les rôles et pouvoirs de sanction de la CNIL dans le cadre de la protection des données personnelles

La CNIL a été créée par la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (la “loi Informatique et Libertés”). Elle est notamment chargée de s’assurer que les traitements de données à caractère personnel sont conformes aux dispositions de cette loi ainsi qu’aux règlements européens[1].

Ainsi, la CNIL poursuit quatre actions principales. Premièrement, elle informe et protège les droits des personnes concernées par des actions de communication et en réceptionnant des demandes de particuliers et de professionnels. Deuxièmement, afin d’aider les organismes privés et publics à se conformer au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (“RGPD”), la CNIL accompagne ces organismes et les conseille sur des questions de conformité. Troisièmement, la CNIL assure une veille concernant les nouvelles technologies et nouveaux usages afin d’innover et d’anticiper au maximum. Quatrièmement, elle a une fonction de contrôle et de sanction.

L’article 20 de la loi Informatique et Libertés accorde en effet à la CNIL le pouvoir de prononcer diverses sanctions en cas de violation des dispositions légales et réglementaires applicables[2]. Elle peut prononcer un rappel à l’ordre, enjoindre de mettre le traitement en conformité, y compris sous astreinte, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes et prononcer des amendes administratives[3].

En 2021, elle a reçu un chiffre record de 14 143 plaintes, a réalisé 384 contrôles et a prononcé 135 mises en demeure et 18 sanctions pour un montant cumulé jamais atteint[4].

 

II. Les récentes sanctions prononcées par la CNIL en matière d’utilisation des cookies

Dans l’attente du futur règlement européen ePrivacy, qui est en cours d’élaboration, la CNIL a publié le 16 mai 2022 des premiers critères d’évaluation de la régularité des “cookie wall” ou “mur de traceur”. Selon la CNIL, l’expression “cookie wall” ou “mur de traceur” “désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal”[5].

Quatre questions doivent être posées afin de déterminer la validité de ces “cookies walls” : (i) est-ce que l’internaute qui a refusé ces traceurs a une alternative équitable pour accéder au contenu[6], (ii) existe-t-il une alternative payante raisonnable[7], (iii) est-ce que le site impose d’accepter l’intégralité des cookies[8], et enfin, (iv) si le choix payant est fait, est-ce que le dépôt de traceurs est fait de manière conforme aux cas limités le permettant[9].

A l’aune de ces critères, la CNIL a récemment rendu plusieurs décisions importantes à l’encontre de Amazon (1), Google (2) et Facebook (3) pour violation de l’article 82 de la loi Informatique et Libertés portant sur l’utilisation des cookies[10].

 

A. La sanction pécuniaire de 35 millions d’euros infligée à la société Amazon Europe Core

Le 7 décembre 2020, la CNIL a infligé une sanction de 35 millions d’euros à la société Amazon Europe Core[11]. Elle a relevé deux manquements à l’article 82 de la loi Informatique et Libertés, concernant le dépôt de cookies[12]. Elle a constaté que, quel que soit le chemin emprunté par les utilisateurs pour visiter le site, ils étaient insuffisamment – voire jamais – informés du fait que des cookies étaient déposés sur leur ordinateur[13].

Par ailleurs, la CNIL a considéré qu’elle était territorialement compétente, car l’utilisation des cookies était réalisée dans le “cadre des activités” de la société Amazon France, qui en est “l’établissement” de la société Amazon Europe Core sur le territoire français et qui assure la promotion de ses produits et services[14].

Dans une décision du 27 juin 2022, le Conseil d’Etat a récemment confirmé la décision de la CNIL et validé la proportionnalité de la sanction en soulignant que, en raison de l’ampleur des traitements réalisés par la société, de la nature potentiellement sensible des données collectées, et de l’avantage financier retiré des manquements qui lui ont permis de personnaliser les annonces adressées aux utilisateurs, les manquements retenus revêtaient une particulière gravité[15]. Le Conseil d’Etat a relevé que selon l’article 83 du RGPD, toute amende imposée par les autorités de contrôle des Etats membres devait être proportionnée notamment en fonction de la nature, gravité, durée de la violation, du degré de coopération avec l’autorité, des catégories de données personnelles en question et de toute autre circonstance aggravante ou atténuante[16]. Le Conseil d’Etat a jugé que, eu égard à gravité des manquements et à leurs effets sur les utilisateurs situés en France, aux plafonds prévus par l’article 83 du RGPD, la CNIL avait suffisamment motivé sa décision et n’avait pas à se prononcer sur l’ensemble des critères de l’article 83[17].

 

B. La sanction pécuniaire de 150 millions d’euros infligée à Google

Le 31 décembre 2021, la CNIL a sanctionné la société Google LLC d’une amende de 90 millions d’euros et la société Google Ireland Limited d’une amende de 60 millions d’euros[18]. Dans sa décision, la CNIL a retenu que les sites web google.fr et youtube.com ne mettaient pas en place de solution pour permettre à l’internaute de refuser facilement le dépôt des cookies. En effet, plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter, et cela constituait une atteinte à la liberté du consentement des internautes[19].

S’agissant de sa compétence territoriale qui était contestée, la CNIL a constaté que le traitement des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search et de YouTube était effectué dans le “cadre des activités” de la société Google France, qui correspond “l’établissement” sur le territoire français du groupe Google[20].

Cette décision n’a pas fait l’objet d’un recours à ce jour.

 

C. Sanction pécuniaire de 60 millions d’euros infligée à Facebook Ireland Limited

Le 31 décembre 2021 également, la CNIL a infligé à Facebook Ireland Limited une amende de 60 millions d’euros[21]. Elle a relevé que rendre le mécanisme de refus plus complexe décourageait les utilisateurs à refuser les cookies et les incitait à utiliser le bouton de consentement qui était plus facile d’accès[22]. De plus, elle a considéré que le parcours informationnel mis en œuvre par Facebook Ireland Limited n’était pas clair puisque, pour refuser le dépôt de cookies, les internautes devaient faire défiler les paramètres des données et cliquer sur un bouton intitulé “Accepter les cookies”[23]. Par conséquent, la CNIL a considéré que la société avait violé la loi Informatique et Libertés[24].

Dans le cadre de cette sanction, la CNIL a aussi enjoint Facebook à “modifier, sur le site web  » facebook.com », les modalités de recueil du consentement des utilisateurs situés en France aux opérations de lecture et/ou d’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement”[25] sous peine d’une astreinte de 100 000 euros par jour de retard[26].

Le 11 juillet 2022, la formation restreinte de la CNIL a clôturé l’injonction prononcée. Dans son communiqué de presse, la CNIL a toutefois précisé que cette décision de clôture ne préjugeait pas de son analyse portant notamment sur l’exigence de fournir une information claire et complète ou à celle de recueillir un consentement finalité par finalité[27].

En conclusion, il ressort des développements précédents que la CNIL n’hésite pas à imposer de lourdes sanctions pour garantir une protection effective des droits des internautes, y compris à l’égard d’opérateurs étrangers. D’ailleurs, des dires du lanceur d’alerte Peiter Zatko, ancien salarié de Twitter, “Twitter est terrifié par la Cnil, bien plus que par la FTC [i.e. la Federal Trade Commission américaine]”[28].

 

Contenu similaire

Revue de presse
22 mars 2024
Revue de presse – Semaine du 18 mars 2024
Cette semaine, la revue de presse revient sur le rapport de la Cour des comptes concernant la situation financière de...
Revue de presse
15 mars 2024
Revue de presse – Semaine du 11 mars 2024
Cette semaine, la revue de presse revient sur l’application par l’AMF de deux orientations émanant de l’Autorité bancaire européenne, l’adoption...
Revue de presse
23 février 2024
Revue de presse – Semaine du 19 février 2024
Cette semaine, la revue de presse revient sur la condamnation pour fraude de Donald Trump et deux de ses fils...
Revue de presse
16 février 2024
Revue de presse – Semaine du 12 février 2024
Cette semaine, la revue de presse revient sur l’héritage laissé par l’ancien ministre de la Justice Robert Badinter, sur les...
Analyse
European Commission
10 janvier 2024
Digital Market Act : Lutte contre les pratiques anticoncurrentielles dans le secteur du numérique
Le 6 septembre 2023, presque un an après l’adoption du Digital Markets Act, la Commission européenne a publié la liste...
Actualité
21 décembre 2023
Sanction de 13,5 millions d’euros pour un abus de position dominante dans le secteur des...
L’Autorité de la concurrence qui a publié cette semaine deux décisions attendues: une sanction de 13,5 millions d’euros pour un...
Actualité
21 décembre 2023
Sanction record de 91,6 millions d’euros pour entente verticale dans le secteur de la distribution...
L’Autorité de la concurrence qui a publié cette semaine deux décisions attendues: une sanction de 13,5 millions d’euros pour un...
Revue de presse
27 octobre 2023
Revue de presse – Semaine du 23 octobre 2023
Cette semaine, la revue de presse revient sur la saisie de près de 60 millions d’euros par la justice française...
Analyse
23 octobre 2023
La société Rallye ainsi que son ancien directeur général sanctionnés par la Commission des sanctions...
Dans sa décision du 7 septembre 2023, la Commission des sanctions de l’Autorité des marchés financiers (“AMF”) a prononcé à...
Publication
13 octobre 2023
La France envisage de protéger le secret professionnel des juristes d’entreprise
Les practiciens français affirment que la législation proposée offrirait aux entreprises françaises une protection renforcée contre les demandes de preuves...
Revue de presse
Revue de presse
29 septembre 2023
Revue de presse – Semaine du 25 septembre 2023
Cette semaine, la revue de presse Navacelle revient sur l’abrogation d’une disposition du code de procédure pénale par le Conseil...
Publication
Bastille day newsletter 2023
14 juillet 2023
Bastille Day Newsletter 2023
En ce 14 juillet, l’équipe Navacelle vous propose, comme chaque année, une sélection d'événements marquants survenus en France au cours...