Analyse
25 janvier 2022

La CNIL inflige les sanctions les plus importantes de son histoire à Facebook et Google

La CNIL a prononcé les plus lourdes amendes de son histoire contre Facebook et Google pour des manquements à la règlementation en vigueur sur les cookies.

 

Le 31 décembre 2021, par deux décisions très remarquées, la Commission Nationale de l’Informatique et des Libertés (“CNIL”)[1], après s’être estimée compétente pour “contrôler et sanctionner les opérations liées aux cookies déposés par une société sur les terminaux des internautes situés en France[2]”, a prononcé les plus lourdes amendes de son histoire, à savoir 60 millions d’euros[3] à l’encontre de Facebook, 60 millions d’euros à l’encontre de Google Ireland Limited[4] et 90 millions à l’encontre de Google LLC[5] (“Google”).

Elle a ainsi mis en garde les géants du web des conséquences s’ils venaient à manquer à leurs obligations au titre de l’article 82 de la loi “Informatique et Libertés” concernant la procédure d’acceptation et de refus des cookies[6], un cookie étant défini comme “petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc.)”[7].

Ces deux décisions intervenues le même jour sont l’occasion de revenir sur les manquements reprochés à Facebook en raison de la mise en place d’un processus trop complexe et décourageant de traitement des cookies pour ses utilisateurs les poussant à les accepter, et à Google pour ne pas avoir respecté le consentement de ses utilisateurs au sujet des cookies, et ce peu de temps après avoir été mis en garde par la CNIL. Enfin, par ces deux décisions, la CNIL rappelle quelles sont les méthodes utilisées et les critères retenus pour le calcul des amendes.

 

I.  La CNIL a reproché à la société Facebook d’avoir mis en place un processus complexe et décourageant pour l’utilisateur souhaitant refuser les cookies

Depuis l’entrée en application du Règlement (UE) 2016/679 du 27 avril 2016, dit Règlement Général sur la Protection des Données (“RGPD”), le consentement doit être, pour être valablement recueilli, “une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair”[8]. Ainsi, il “ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice”[9].

Partant, la commission restreinte de la CNIL a considéré que tant les modalités de recueil du consentement proposés aux utilisateurs par la société Facebook que l’absence de clarté manifeste de l’information[10] était une violation évidente de l’article 82 de la loi “Informatique et Libertés”.[11]

En effet, La CNIL a reproché à la société Facebook d’avoir mis en place un processus complexe et décourageant pour l’utilisateur souhaitant refuser les cookies[12]. Ainsi, la CNIL notait que “si Facebook propose un bouton permettant d’accepter immédiatement les cookies, il ne propose pas de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement le dépôt des cookies[13]”. En pratique, si l’utilisateur souhaitait refuser les cookies, un clic unique n’était pas suffisant, il fallait qu’il les refuse un à un.[14] Selon la CNIL, ce procédé de refus des cookies, considéré comme complexe et chronophage, dissuade l’utilisateur de les refuser[15] et “porte atteinte à la liberté du consentement des internautes”[16].

Il était également reproché à Facebook le parcours informationnel expliquant à l’utilisateur comment refuser les cookies. Celui-ci était en effet considéré comme confus et peu clair puisque l’utilisateur, afin de refuser le dépôt des cookies, devait cliquer sur un bouton intitulé “Accepter les cookies”[17]. Concrètement, une fois que l’utilisateur arrivait sur le site web “facebook.com”, il devait “pour refuser le dépôt de cookies publicitaires, d’abord cliquer sur le bouton “Gérer les paramètres de données” de la première fenêtre, faire défiler l’intégralité de la seconde fenêtre surgissante en laissant les deux boutons glissants désactivés pour ne pas accepter les cookies, puis cliquer sur le bouton “Accepter les cookies” figurant au bas de cette seconde fenêtre [18]”. La CNIL considérait qu’un tel procédé conduisait nécessairement à créer une confusion dans l’esprit de l’utilisateur, qui pouvait imaginer qu’il n’était pas possible de refuser le dépôt des cookies et qu’il n’avait aucun contrôle à ce propos.[19]

 

II.  La CNIL a reproché à Google de ne pas permettre à ses utilisateurs de refuser les cookies aussi simplement que de les accepter

Concernant les sites internet “fr” et “youtube.fr” des sociétés Google, il était reproché à ces dernières d’avoir prévu uniquement l’acceptation des cookies lors de l’ouverture d’une page web[20], alors que pour les refuser il était nécessaire de se rendre dans les paramètres de navigation[21], et d’avoir mis en place une seule action pour consentir aux cookies mais pas moins de cinq actions pour les refuser[22].

En défense, Google arguait que “ni la directive “ePrivacy”, ni le RGPD, ni l’article 82 de la loi “Informatique et Libertés” ne prévoyaient que l’action de refuser les cookies devait être aussi simple que de les accepter”[23]. Google ajoutait que “le fait de ne pas proposer, au premier niveau d’information, un bouton “Tout refuser” n’est pas contraire au principe de liberté du consentement dans la mesure où les utilisateurs ont bien la possibilité de refuser les cookies en cliquant sur le bouton “Personnaliser””[24].

La CNIL a néanmoins précisé dans sa décision du 31 décembre 2021 que dans sa recommandation en date du 17 septembre 2020, elle préconisait déjà aux responsables de traitement de mettre en place un mécanisme permettant à l’utilisateur de choisir en même temps, sur la même page et par la même fenêtre, entre refuser les cookies ou les accepter.[25]

En plus de cette recommandation, la CNIL a rappelé à Google que “les sociétés ont fait l’objet d’une sanction récente portant sur des manquements à l’article 82 de la loi Informatique et Libertés” s’agissant de l’information et du recueil du consentement des personnes avant le dépôt des cookies sur leur terminal. Si cette sanction n’est pas définitive puisqu’elle fait l’objet d’un recours devant le Conseil d’Etat, la formation restreinte note toutefois que l’attention des sociétés avait été explicitement appelée par les services de la CNIL sur les modalités de refus des cookies”[26]. A ce propos, après un recours infructueux devant le Conseil d’Etat le 7 mars 2021 afin de faire invalider l’injonction faite aux sociétés Google de se mettre en conformité[27], ces dernières sont de nouveau venues plaider début janvier 2022 devant le Conseil d’Etat afin d’obtenir l’annulation de l’amende infligée par la CNIL en décembre 2020[28].

Force est de constater que la CNIL a dès lors estimé que Google n’avait pas pris conscience des conséquences de tels manquements successifs.

 

III.  Une illustration des critères retenus par la CNIL pour déterminer le montant des amendes et de son appréciation de la nécessité du prononcé d’une astreinte

Afin de déterminer le montant des amendes infligées à Facebook, la CNIL a fait application de certains critères prévus par l’article 83 paragraphe 2 du RGPD. Elle a notamment tenu compte de la “gravité du manquement, compte tenu de la nature, de la portée du traitement et du nombre de personne concernées par ce dernier”[29], mais également des avantages financiers obtenus du fait du manquement[30] et de la capacité financière de Facebook[31].

Afin de déterminer le montant des amendes infligées à Google, elle a retenu que la violation était commise délibérément[32]. En effet, les deux sociétés Google avaient déjà fait l’objet d’une sanction récente pour des manquements à l’article 82 de la loi “Informatique et Libertés” concernant l’information et le recueil du consentement des personnes avant le recueil des cookies sur leur terminal[33].

Enfin, tant pour les sociétés Facebook que Google, la CNIL s’est fondée sur l’influence et la place dont ces dernières disposaient en ligne[34], des revenus qu’elles tiraient de la publicité[35] ainsi que du nombre de visiteurs au cours des douze derniers mois.

En outre, considérant que les sociétés avaient déjà été alertées sur la nécessité de changer leurs pratiques et afin de s’assurer que le nécessaire serait fait à l’avenir, la CNIL a imposé des injonctions sous astreinte de modifier les modalités du recueil du consentement des utilisateurs aux cookies.

Contenu similaire

Analyse
9 mars 2023
Sanctions historiques imposées par l’Autorité des marchés financiers
La Commission des sanctions de l’AMF impose à une société de gestion de portefeuille britannique et à deux de ses...
Analyse
24 janvier 2023
Décision du 28 janvier 2022 : Le Conseil constitutionnel revient sur le dispositif de sanction...
Le 28 janvier 2022, le Conseil constitutionnel a rendu une décision déclarant inconstitutionnel l’article L. 621-15, II, f du code...
Revue de presse
Revue de presse - Semaine du 21 novembre 2022
25 novembre 2022
Revue de presse – Semaine du 21 novembre 2022
Cette semaine vous découvrirez l’ouverture d’une enquête préliminaire du parquet national financier pour détournement de fonds publics. Par ailleurs, vous...
Analyse
21 novembre 2022
CJIP Crédit Suisse pour blanchiment aggravé de fraude fiscale et démarchage illicite
Le Crédit Suisse échappe aux poursuites judiciaires et accepte le paiement d’une amende d’intérêt public de 123 000 000 d’euros...
Revue de presse
Revue de presse - Semaine du 14 novembre 2022
18 novembre 2022
Revue de presse – Semaine du 14 novembre 2022
Cette semaine vous découvrirez trois évènements marquants : la première condamnation en France d’un ancien chef rebelle libérien par la...
Analyse
Autorité de la concurrence - Google
18 novembre 2022
Les récentes sanctions de Google par l’Autorité de la concurrence : serveurs publicitaires et droits...
En 2021, l’Autorité de la concurrence a infligé plusieurs amendes à Google pour s’être livré à des pratiques anticoncurrentielles liées...
Revue de presse
Revue de presse - Semaine du 24 octobre 2022
28 octobre 2022
Revue de presse – Semaine du 24 octobre 2022
Cette semaine vous découvrirez plusieurs évènements importants sur le plan judiciaire. En effet, une convention judiciaire d’intérêt public ("CJIP") entre...
Analyse
26 octobre 2022
La CNIL et les affaires récentes en matière de protection des données personnelles...
Autorité française en matière de protection des données personnelles, la CNIL a récemment prononcé d’importantes sanctions à l’encontre de Google,...
Analyse
12 octobre 2022
Discussions autour des secrets dans les procédures répressives et de la régulation en matière de...
Le 5 octobre 2022 s’est tenu le colloque annuel de la Commission des sanctions de l’AMF. A cette occasion, des...
Analyse
Le droit au silence lors des investigations de l’Autorité des Marchés Financiers
14 juillet 2022
Le droit au silence lors des investigations de l’Autorité des Marchés Financiers
Le droit au silence est un droit porté au rang de principe constitutionnel en matière pénale. Or, il s’avère que...
Revue de presse
Revue de presse - semaine du 25 avril 2022 (vignette)
29 avril 2022
Revue de presse – Semaine du 25 avril 2022
Dans cette revue de presse, vous retrouverez des articles détaillant les dernières évolutions de la procédure pénale, aussi bien en...
Événement
25 avril 2022
Point sur la justice négociée et la Convention judiciaire d’intérêt public à travers le monde...
Stéphane de Navacelle est intervenu lors de la conférence annuelle de l'International Law Section organisée par l'American Bar Association....