Le 31 décembre 2021, par deux décisions très remarquées, la Commission Nationale de l’Informatique et des Libertés (“CNIL”)[1], après s’être estimée compétente pour “contrôler et sanctionner les opérations liées aux cookies déposés par une société sur les terminaux des internautes situés en France[2]”, a prononcé les plus lourdes amendes de son histoire, à savoir 60 millions d’euros[3] à l’encontre de Facebook, 60 millions d’euros à l’encontre de Google Ireland Limited[4] et 90 millions à l’encontre de Google LLC[5] (“Google”).

Elle a ainsi mis en garde les géants du web des conséquences s’ils venaient à manquer à leurs obligations au titre de l’article 82 de la loi “Informatique et Libertés” concernant la procédure d’acceptation et de refus des cookies[6], un cookie étant défini comme “petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc.)”[7].

Ces deux décisions intervenues le même jour sont l’occasion de revenir sur les manquements reprochés à Facebook en raison de la mise en place d’un processus trop complexe et décourageant de traitement des cookies pour ses utilisateurs les poussant à les accepter, et à Google pour ne pas avoir respecté le consentement de ses utilisateurs au sujet des cookies, et ce peu de temps après avoir été mis en garde par la CNIL. Enfin, par ces deux décisions, la CNIL rappelle quelles sont les méthodes utilisées et les critères retenus pour le calcul des amendes.

I.  La CNIL a reproché à la société Facebook d’avoir mis en place un processus complexe et décourageant pour l’utilisateur souhaitant refuser les cookies

Depuis l’entrée en application du Règlement (UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données (“RGPD”), le consentement doit être, pour être valablement recueilli, “une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair”[8]. Ainsi, il “ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice”[9].

Partant, la commission restreinte de la CNIL a considéré que tant les modalités de recueil du consentement proposés aux utilisateurs par la société Facebook que l’absence de clarté manifeste de l’information[10] était une violation évidente de l’article 82 de la loi “Informatique et Libertés”.[11]

En effet, La CNIL a reproché à la société Facebook d’avoir mis en place un processus complexe et décourageant pour l’utilisateur souhaitant refuser les cookies[12]. Ainsi, la CNIL notait que “si Facebook propose un bouton permettant d’accepter immédiatement les cookies, il ne propose pas de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement le dépôt des cookies[13]”. En pratique, si l’utilisateur souhaitait refuser les cookies, un clic unique n’était pas suffisant, il fallait qu’il les refuse un à un.[14] Selon la CNIL, ce procédé de refus des cookies, considéré comme complexe et chronophage, dissuade l’utilisateur de les refuser[15] et “porte atteinte à la liberté du consentement des internautes”[16].

Il était également reproché à Facebook le parcours informationnel expliquant à l’utilisateur comment refuser les cookies. Celui-ci était en effet considéré comme confus et peu clair puisque l’utilisateur, afin de refuser le dépôt des cookies, devait cliquer sur un bouton intitulé “Accepter les cookies”[17]. Concrètement, une fois que l’utilisateur arrivait sur le site web “facebook.com”, il devait “pour refuser le dépôt de cookies publicitaires, d’abord cliquer sur le bouton “Gérer les paramètres de données” de la première fenêtre, faire défiler l’intégralité de la seconde fenêtre surgissante en laissant les deux boutons glissants désactivés pour ne pas accepter les cookies, puis cliquer sur le bouton “Accepter les cookies” figurant au bas de cette seconde fenêtre [18]”. La CNIL considérait qu’un tel procédé conduisait nécessairement à créer une confusion dans l’esprit de l’utilisateur, qui pouvait imaginer qu’il n’était pas possible de refuser le dépôt des cookies et qu’il n’avait aucun contrôle à ce propos.[19]

II.  La CNIL a reproché à Google de ne pas permettre à ses utilisateurs de refuser les cookies aussi simplement que de les accepter

Concernant les sites internet “fr” et “youtube.fr” des sociétés Google, il était reproché à ces dernières d’avoir prévu uniquement l’acceptation des cookies lors de l’ouverture d’une page web[20], alors que pour les refuser il était nécessaire de se rendre dans les paramètres de navigation[21], et d’avoir mis en place une seule action pour consentir aux cookies mais pas moins de cinq actions pour les refuser[22].

En défense, Google arguait que “ni la directive “ePrivacy”, ni le RGPD, ni l’article 82 de la loi “Informatique et Libertés” ne prévoyaient que l’action de refuser les cookies devait être aussi simple que de les accepter”[23]. Google ajoutait que “le fait de ne pas proposer, au premier niveau d’information, un bouton “Tout refuser” n’est pas contraire au principe de liberté du consentement dans la mesure où les utilisateurs ont bien la possibilité de refuser les cookies en cliquant sur le bouton “Personnaliser””[24].

La CNIL a néanmoins précisé dans sa décision du 31 décembre 2021 que dans sa recommandation en date du 17 septembre 2020, elle préconisait déjà aux responsables de traitement de mettre en place un mécanisme permettant à l’utilisateur de choisir en même temps, sur la même page et par la même fenêtre, entre refuser les cookies ou les accepter.[25]

En plus de cette recommandation, la CNIL a rappelé à Google que “les sociétés ont fait l’objet d’une sanction récente portant sur des manquements à l’article 82 de la loi “Informatique et Libertés” s’agissant de l’information et du recueil du consentement des personnes avant le dépôt des cookies sur leur terminal. Si cette sanction n’est pas définitive puisqu’elle fait l’objet d’un recours devant le Conseil d’Etat, la formation restreinte note toutefois que l’attention des sociétés avait été explicitement appelée par les services de la CNIL sur les modalités de refus des cookies”[26]. A ce propos, après un recours infructueux devant le Conseil d’Etat le 7 mars 2021 afin de faire invalider l’injonction faite aux sociétés Google de se mettre en conformité[27], ces dernières sont de nouveau venues plaider début janvier 2022 devant le Conseil d’Etat afin d’obtenir l’annulation de l’amende infligée par la CNIL en décembre 2020[28].

Force est de constater que la CNIL a dès lors estimé que Google n’avait pas pris conscience des conséquences de tels manquements successifs.

III.  Une illustration des critères retenus par la CNIL pour déterminer le montant des amendes et de son appréciation de la nécessité du prononcé d’une astreinte

Afin de déterminer le montant des amendes infligées à Facebook, la CNIL a fait application de certains critères prévus par l’article 83 paragraphe 2 du RGPD. Elle a notamment tenu compte de la “gravité du manquement, compte tenu de la nature, de la portée du traitement et du nombre de personne concernées par ce dernier”[29], mais également des avantages financiers obtenus du fait du manquement[30] et de la capacité financière de Facebook[31].

Afin de déterminer le montant des amendes infligées à Google, elle a retenu que la violation était commise délibérément[32]. En effet, les deux sociétés Google avaient déjà fait l’objet d’une sanction récente pour des manquements à l’article 82 de la loi “Informatique et Libertés” concernant l’information et le recueil du consentement des personnes avant le recueil des cookies sur leur terminal[33].

Enfin, tant pour les sociétés Facebook que Google, la CNIL s’est fondée sur l’influence et la place dont ces dernières disposaient en ligne[34], des revenus qu’elles tiraient de la publicité[35] ainsi que du nombre de visiteurs au cours des douze derniers mois.

En outre, considérant que les sociétés avaient déjà été alertées sur la nécessité de changer leurs pratiques et afin de s’assurer que le nécessaire serait fait à l’avenir, la CNIL a imposé des injonctions sous astreinte de modifier les modalités du recueil du consentement des utilisateurs aux cookies.