accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Simplifier le refus des cookies : la CNIL inflige de lourdes amendes à Google et Facebook pour manquement à la loi Informatique et Libertés

AAI
CNIL, communiqué, 6 janv. 2022
[06.01.2022]

La CNIL vient de sanctionner Google à une amende record de 150 M€ (CNIL, déc. n° SAN-2021-023, 31 déc. 2021) ainsi que Facebook Ireland Limited à hauteur de 60 M€ (CNIL, déc. n° SAN-2021-024, 31 déc. 2021)parce que les sites facebook.com, google.fr et youtube.com ne permettent pas de refuser les cookies aussi simplement que de les accepter. Elle enjoint également les sociétés de se mettre en conformité dans un délai de trois mois. Dans le cas contraire, celles-ci s'exposeront au paiement d'une astreinte de 100 000 € par jour de retard.

Compétence. - Dans ses deux décisions rendues publiques, La CNIL s'est déclarée matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France. Elle a indiqué que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n'a pas vocation à s'appliquer dans les procédures en cause dans la mesure où les opérations liées à l'utilisation des cookies relèvent de la directive « ePrivacy », transposée à l'article 82 de la Loi Informatique et Libertés.

Elle a considéré qu'elle était également territorialement compétente en application de l'article 3 de la loi Informatique et Libertés car le recours aux cookies est effectué dans le « cadre des activités » de la société Facebook France qui constitue « l'établissement » sur le territoire français du groupe Facebook et dans le « cadre des activités » de la société Google France qui constitue « l'établissement » sur le territoire français des sociétés Google LLC et Google Ireland Limited. Concernant Google, elle a également estimé que Google LLC et Google Ireland Limited sont conjointement responsables dès lors qu'elles déterminent toutes les deux les finalités et les moyens liés à l'usage des cookies.

Manquements reprochés. - À la suite de contrôles en ligne effectués en avril 2021 pour Facebook et en juin 2021 pour Google, la CNIL a constaté que s'ils proposent un bouton permettant d'accepter immédiatement les cookies, les sites en question ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l'internaute de refuser aussi facilement le dépôt des cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter.

Elle a considéré que rendre le mécanisme de refus plus complexe revient, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « j'accepte ». Ce procédé porte atteinte à la liberté du consentement des internautes et constitue une violation de l'article 82 de la loi Informatique et Libertés puisqu'il n'est pas aussi simple de refuser les cookies que de les accepter.

Concernant la société Facebook, la CNIL lui a également reproché l'absence de clarté d'information. Elle a considéré que le parcours informationnel mis en œuvre n'est pas clair puisque, pour refuser le dépôt de cookies, les internautes doivent cliquer sur un bouton intitulé « Accepter les cookies » figurant dans la seconde fenêtre. Elle a estimé qu'un tel intitulé génère nécessairement de la confusion et que l'utilisateur peut avoir le sentiment qu'il n'est pas possible de refuser le dépôt de cookies et qu'il ne dispose pas de modalités de contrôle à cet égard.

Sanctions. - La CNIL a notamment justifié le montant des amendes infligées (150 M€ à l'encontre de Google - 90 M€ pour Google LLC et 60 M€ pour Google Ireland Limited - et 60 M€ à l'encontre de Facebook) par le nombre de personnes concernées et par les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par les cookies.

Concernant Google, l'amende record qui lui est infligée est également justifiée par le fait que les services de la CNIL avaient déjà, en février 2021, attiré l'attention des sociétés sur ce manquement.

Elle a également rappelé que la CNIL avait communiqué à de nombreuses reprises sur le fait qu'il doit être aussi simple de refuser les cookies que de les accepter.

En complément des amendes administratives, une injonction sous astreinte a également été délivrée afin que les sociétés mettent à disposition des internautes situés en France, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. Dans le cas contraire, les sociétés s'exposeront au paiement d'une astreinte de 100 000 € par jour de retard.