La CNIL inflige les sanctions les plus importantes de son histoire à Facebook et Google
La CNIL a prononcé les plus lourdes amendes de son histoire contre Facebook et Google pour des manquements à la règlementation en vigueur sur les cookies.
Le 31 décembre 2021, par deux décisions très remarquées, la Commission Nationale de l’Informatique et des Libertés (“CNIL”)[1], après s’être estimée compétente pour “contrôler et sanctionner les opérations liées aux cookies déposés par une société sur les terminaux des internautes situés en France[2]”, a prononcé les plus lourdes amendes de son histoire, à savoir 60 millions d’euros[3] à l’encontre de Facebook, 60 millions d’euros à l’encontre de Google Ireland Limited[4] et 90 millions à l’encontre de Google LLC[5] (“Google”).
Elle a ainsi mis en garde les géants du web des conséquences s’ils venaient à manquer à leurs obligations au titre de l’article 82 de la loi “Informatique et Libertés” concernant la procédure d’acceptation et de refus des cookies[6], un cookie étant défini comme “petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc.)”[7].
Ces deux décisions intervenues le même jour sont l’occasion de revenir sur les manquements reprochés à Facebook en raison de la mise en place d’un processus trop complexe et décourageant de traitement des cookies pour ses utilisateurs les poussant à les accepter, et à Google pour ne pas avoir respecté le consentement de ses utilisateurs au sujet des cookies, et ce peu de temps après avoir été mis en garde par la CNIL. Enfin, par ces deux décisions, la CNIL rappelle quelles sont les méthodes utilisées et les critères retenus pour le calcul des amendes.
I. La CNIL a reproché à la société Facebook d’avoir mis en place un processus complexe et décourageant pour l’utilisateur souhaitant refuser les cookies
Depuis l’entrée en application du Règlement (UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données (“RGPD”), le consentement doit être, pour être valablement recueilli, “une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair”[8]. Ainsi, il “ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice”[9].
Partant, la commission restreinte de la CNIL a considéré que tant les modalités de recueil du consentement proposés aux utilisateurs par la société Facebook que l’absence de clarté manifeste de l’information[10] était une violation évidente de l’article 82 de la loi “Informatique et Libertés”.[11]
En effet, La CNIL a reproché à la société Facebook d’avoir mis en place un processus complexe et décourageant pour l’utilisateur souhaitant refuser les cookies[12]. Ainsi, la CNIL notait que “si Facebook propose un bouton permettant d’accepter immédiatement les cookies, il ne propose pas de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement le dépôt des cookies[13]”. En pratique, si l’utilisateur souhaitait refuser les cookies, un clic unique n’était pas suffisant, il fallait qu’il les refuse un à un.[14] Selon la CNIL, ce procédé de refus des cookies, considéré comme complexe et chronophage, dissuade l’utilisateur de les refuser[15] et “porte atteinte à la liberté du consentement des internautes”[16].
Il était également reproché à Facebook le parcours informationnel expliquant à l’utilisateur comment refuser les cookies. Celui-ci était en effet considéré comme confus et peu clair puisque l’utilisateur, afin de refuser le dépôt des cookies, devait cliquer sur un bouton intitulé “Accepter les cookies”[17]. Concrètement, une fois que l’utilisateur arrivait sur le site web “facebook.com”, il devait “pour refuser le dépôt de cookies publicitaires, d’abord cliquer sur le bouton “Gérer les paramètres de données” de la première fenêtre, faire défiler l’intégralité de la seconde fenêtre surgissante en laissant les deux boutons glissants désactivés pour ne pas accepter les cookies, puis cliquer sur le bouton “Accepter les cookies” figurant au bas de cette seconde fenêtre [18]”. La CNIL considérait qu’un tel procédé conduisait nécessairement à créer une confusion dans l’esprit de l’utilisateur, qui pouvait imaginer qu’il n’était pas possible de refuser le dépôt des cookies et qu’il n’avait aucun contrôle à ce propos.[19]
II. La CNIL a reproché à Google de ne pas permettre à ses utilisateurs de refuser les cookies aussi simplement que de les accepter
Concernant les sites internet “fr” et “youtube.fr” des sociétés Google, il était reproché à ces dernières d’avoir prévu uniquement l’acceptation des cookies lors de l’ouverture d’une page web[20], alors que pour les refuser il était nécessaire de se rendre dans les paramètres de navigation[21], et d’avoir mis en place une seule action pour consentir aux cookies mais pas moins de cinq actions pour les refuser[22].
En défense, Google arguait que “ni la directive “ePrivacy”, ni le RGPD, ni l’article 82 de la loi “Informatique et Libertés” ne prévoyaient que l’action de refuser les cookies devait être aussi simple que de les accepter”[23]. Google ajoutait que “le fait de ne pas proposer, au premier niveau d’information, un bouton “Tout refuser” n’est pas contraire au principe de liberté du consentement dans la mesure où les utilisateurs ont bien la possibilité de refuser les cookies en cliquant sur le bouton “Personnaliser””[24].
La CNIL a néanmoins précisé dans sa décision du 31 décembre 2021 que dans sa recommandation en date du 17 septembre 2020, elle préconisait déjà aux responsables de traitement de mettre en place un mécanisme permettant à l’utilisateur de choisir en même temps, sur la même page et par la même fenêtre, entre refuser les cookies ou les accepter.[25]
En plus de cette recommandation, la CNIL a rappelé à Google que “les sociétés ont fait l’objet d’une sanction récente portant sur des manquements à l’article 82 de la loi “Informatique et Libertés” s’agissant de l’information et du recueil du consentement des personnes avant le dépôt des cookies sur leur terminal. Si cette sanction n’est pas définitive puisqu’elle fait l’objet d’un recours devant le Conseil d’Etat, la formation restreinte note toutefois que l’attention des sociétés avait été explicitement appelée par les services de la CNIL sur les modalités de refus des cookies”[26]. A ce propos, après un recours infructueux devant le Conseil d’Etat le 7 mars 2021 afin de faire invalider l’injonction faite aux sociétés Google de se mettre en conformité[27], ces dernières sont de nouveau venues plaider début janvier 2022 devant le Conseil d’Etat afin d’obtenir l’annulation de l’amende infligée par la CNIL en décembre 2020[28].
Force est de constater que la CNIL a dès lors estimé que Google n’avait pas pris conscience des conséquences de tels manquements successifs.
III. Une illustration des critères retenus par la CNIL pour déterminer le montant des amendes et de son appréciation de la nécessité du prononcé d’une astreinte
Afin de déterminer le montant des amendes infligées à Facebook, la CNIL a fait application de certains critères prévus par l’article 83 paragraphe 2 du RGPD. Elle a notamment tenu compte de la “gravité du manquement, compte tenu de la nature, de la portée du traitement et du nombre de personne concernées par ce dernier”[29], mais également des avantages financiers obtenus du fait du manquement[30] et de la capacité financière de Facebook[31].
Afin de déterminer le montant des amendes infligées à Google, elle a retenu que la violation était commise délibérément[32]. En effet, les deux sociétés Google avaient déjà fait l’objet d’une sanction récente pour des manquements à l’article 82 de la loi “Informatique et Libertés” concernant l’information et le recueil du consentement des personnes avant le recueil des cookies sur leur terminal[33].
Enfin, tant pour les sociétés Facebook que Google, la CNIL s’est fondée sur l’influence et la place dont ces dernières disposaient en ligne[34], des revenus qu’elles tiraient de la publicité[35] ainsi que du nombre de visiteurs au cours des douze derniers mois.
En outre, considérant que les sociétés avaient déjà été alertées sur la nécessité de changer leurs pratiques et afin de s’assurer que le nécessaire serait fait à l’avenir, la CNIL a imposé des injonctions sous astreinte de modifier les modalités du recueil du consentement des utilisateurs aux cookies.
Contenu similaire
Revue de presse
25 avril 2025
Revue de presse – Semaine du 21 avril 2025
Cette semaine, la revue de presse revient sur la libération du prince Paul de Roumanie par les autorités françaises, malgré...
Revue de presse
4 avril 2025
Revue de presse – Semaine du 31 mars 2025
Cette semaine, la revue de presse revient sur la sanction de 150 millions d’euros prononcée par l’Autorité de la concurrence...
Revue de presse
28 mars 2025
Revue de presse – Semaine du 24 mars 2025
Cette semaine, la revue de presse revient sur la convocation du secrétaire général de l'Élysée, Alexis Kohler, à une commission...
Revue de presse
21 mars 2025
Revue de presse – Semaine du 17 mars 2025
Cette semaine, la revue de presse revient sur l'assignation en justice de Carrefour par deux ONG pour manquement à son...
Revue de presse
21 février 2025
Revue de presse – Semaine du 17 février 2025
Cette semaine, la revue de presse revient sur le décret signé par Donald Trump en matière de corruption, sur l’amende...
Revue de presse
14 février 2025
Revue de presse – Semaine du 10 février 2025
Cette semaine, la revue de presse revient sur la convocation du maire de Fréjus pour prise illégale d’intérêt devant le...
Revue de presse
7 février 2025
Revue de presse – Semaine du 3 février 2025
Cette semaine, la revue de presse revient sur les infractions environnementales et notamment sur les poursuites engagées contre la société...
Revue de presse
24 janvier 2025
Revue de presse – Semaine du 20 janvier 2025
Cette semaine, la revue de presse revient sur la publication par la CNIL de son plan stratégique 2025-2028, sur l’intensification...
Publication
23 janvier 2025
LIR 8e édition : L’AMF sanctionne une société gérant des fonds d’investissement et son...
Navacelle contribue au magazine The Legal Industry Reviews, dans sa nouvelle section "Regulatory and Sanctions", en présentant les sanctions prononcées...
Revue de presse
17 janvier 2025
Revue de presse – Semaine du 13 janvier 2025
Cette semaine, la revue de presse revient sur l’enquête visant l’actuel ministre des Transports pour détournement de fonds publics, sur...
Revue de presse
10 janvier 2025
Revue de presse – Semaine du 6 janvier 2025
Cette semaine, la revue de presse revient sur le procès concernant les soupçons de financements libyens lors de la campagne...
Revue de presse
20 décembre 2024
Revue de presse – Semaine du 16 décembre 2024
Cette semaine, la revue de presse revient sur la condamnation définitive de Nicolas Sarkozy à trois ans de prison pour...
Nous utilisons des cookies pour optimiser notre site web et notre service.
Fonctionnel
Toujours activé
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Préférences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiques
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.