17 décembre 2020
Après la publication, le 17 septembre 2020, de nouvelles lignes directrices et d’une recommandation en matière de cookies publicitaires, dans lesquelles elle insiste sur l’importance de l’information et du consentement des internautes, la CNIL vient de sanctionner lourdement Amazon et Google pour violation des règles applicables en la matière, posées par l’article 82 de la loi Informatique et Libertés modifiée.
Pourquoi la CNIL a-t-elle condamné Amazon et Google ?
Le 7 décembre 2020, la CNIL a sanctionné la société Amazon et les sociétés Google LLC et Google Ireland Limited pour violation de l’article 82 de la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
Cette condamnation fait suite à plusieurs contrôles en ligne effectués par la CNIL, au cours desquels l’Autorité a constaté que des cookies publicitaires sont déposés sur les ordinateurs des internautes lorsqu’ils consultent les sites google.fr et amazon.fr sans consentement préalable et sans information satisfaisante.
Le dépôt de cookies s’effectue dès l’arrivée des internautes sur les sites, ce qui est incompatible avec l’obligation de recueillir préalablement leur consentement. Quant aux informations fournies, elles ne sont pas claires et incomplètes :
- Le bandeau affiché par Amazon « en utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus »ne contient qu’une description générale et approximative des finalités de l’ensemble des cookies déposés. Il ne précise pas aux internautes qu’ils ont le droit de refuser ces cookies et les moyens dont ils disposent pour se faire ;
- Celui de Google indique simplement « rappel concernant les règles de confidentialité de Google » en face de laquelle figurent deux boutons « me le rappeler plus tard » et « consulter maintenant ». Aucune information n’est fournie alors que des cookies ont déjà été déposés sur l’ordinateur de l’internaute à son arrivée sur le site ;
- Le mécanisme « d’opposition » permettant de désactiver la personnalisation des annonces sur le moteur de recherche de Google, est pour sa part partiellement défaillant, l’un des cookies publicitaires demeurant stocké sur l’ordinateur de l’internaute et continuant de lire des informations à destination du serveur auquel il était rattaché.
La CNIL a donc considéré que ces sociétés ne permettaient pas aux internautes d’être préalablement et clairement renseignés sur le fait que des cookies étaient déposés sur leur ordinateur ni sur les objectifs de ces cookies et a constaté l’absence de moyens mis à leur disposition leur permettant de les refuser.
Amazon a été condamnée à une amende de 35 millions d’Euros et les filiales de Google à des amendes de 60 et 40 millions d’Euros, ces montants se justifiant par la gravité des manquements constatés. La CNIL leur fait injonction de fournir une information conforme aux internautes dans un délai de 3 mois à compter de la notification de ses décisions, sous astreinte de 100 000 euros par jour de retard.
Rappel : comment recueillir valablement le consentement des internautes ?
La CNIL rappelle que le consentement doit être libre, spécifique, éclairé et univoque et se manifester par une action positive de l’internaute (case à cocher, bouton à activer), qui aura été préalablement informé des conséquences de son choix et disposera des moyens d’accepter, de refuser et de retirer son consentement.
Le consentement doit être donné avant le dépôt et/ou la lecture de cookies.
Les nouveautés introduites par la CNIL dans ses lignes directrices et dans sa recommandation en matière de cookies
Les lignes directrices modificatives et la recommandation portant sur l’usage des cookies et autres traceurs adoptées par la CNIL le 17 septembre 2020, publiées le 1er octobre 2020, visent à tirer les conséquences de l’arrêt rendue par le Conseil d’Etat le 19 juin 2020, ayant annulé certaines dispositions antérieures (n°434684).
Les éditeurs de site internet et les acteurs de la publicité en ligne disposent d’un délai de 6 mois pour s’y conformer, i.e. avant le 1er avril 2021.
- Le recueil du consentement des utilisateurs
Désormais, le simple fait de poursuivre sa navigation sur un site ne peut être considéré comme l’expression valide du consentement de l’internaute.
Les internautes doivent consentir par un acte positif clair : par exemple, en cliquant sur le bouton « j’accepte » du bandeau d’information.
La CNIL recommande également que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».
- Le refus de donner son consentement
Les internautes doivent être en mesure de pouvoir refuser les cookies aussi facilement qu’il leur est proposé de les accepter, comme l’a jugé le Conseil d’Etat dans son arrêt du 19 juin 2020.
La CNIL considère que lorsqu’un seul clic est requis pour accepter les cookies, tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé. Il faut donc que soit mis à la disposition des internautes des moyens simples et directs pour refuser de donner leur consentement.
La CNIL recommande que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux cookies, conservent également le refus des internautes.
- Les cookies exemptés de recueil du consentement
Certains cookies sont cependant exemptés du recueil de consentement, notamment pour « les opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs ».
Les cookies de mesure d’audience peuvent ainsi bénéficier d’une exemption de consentement à condition de s’être préalablement assuré qu’ils sont bien strictement nécessaires à la fourniture du service.
- L’information des internautes
Les internautes doivent être clairement informés de chaque finalité des traceurs avant de donner leur consentement ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs. Les internautes doivent également être informés des moyens de retirer leur consentement ainsi que de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
La CNIL rappelle que les informations doivent être accessibles, à la fois depuis le premier écran puis, qu’elles soient mises à la disposition des internautes de manière permanente, à un endroit aisément accessible à tout moment sur le site internet.
- Les durées de conservation des cookies
Les durées de conservation diffèrent selon les cookies :
- 25 mois pour les cookies techniques ;
- 13 mois pour les cookies dispensés de consentement ;
- Durée à apprécier « au cas par cas » pour les cookies nécessitant un consentement, 6 mois étant une durée jugée adéquate.
Contact : Stéphanie Berland, Associée en charge du Pôle IP/IT/Data
