Simplifier le refus des cookies : la CNIL inflige de lourdes amendes à Google et Facebook pour manquement à la loi Informatique et Libertés
La CNIL vient de sanctionner Google à une amende record de 150 M€ (CNIL, déc. n° SAN-2021-023, 31 déc. 2021) ainsi que Facebook Ireland Limited à hauteur de 60 M€ (CNIL, déc. n° SAN-2021-024, 31 déc. 2021)parce que les sites facebook.com, google.fr et youtube.com ne permettent pas de refuser les cookies aussi simplement que de les accepter. Elle enjoint également les sociétés de se mettre en conformité dans un délai de trois mois. Dans le cas contraire, celles-ci s'exposeront au paiement d'une astreinte de 100 000 € par jour de retard.
Compétence. - Dans ses deux décisions rendues publiques, La CNIL s'est déclarée matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France. Elle a indiqué que le mécanisme de coopération prévu par le
Elle a considéré qu'elle était également territorialement compétente en application de l'
Manquements reprochés. - À la suite de contrôles en ligne effectués en avril 2021 pour Facebook et en juin 2021 pour Google, la CNIL a constaté que s'ils proposent un bouton permettant d'accepter immédiatement les cookies, les sites en question ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l'internaute de refuser aussi facilement le dépôt des cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter.
Elle a considéré que rendre le mécanisme de refus plus complexe revient, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « j'accepte ». Ce procédé porte atteinte à la liberté du consentement des internautes et constitue une violation de l'
Concernant la société Facebook, la CNIL lui a également reproché l'absence de clarté d'information. Elle a considéré que le parcours informationnel mis en œuvre n'est pas clair puisque, pour refuser le dépôt de cookies, les internautes doivent cliquer sur un bouton intitulé « Accepter les cookies » figurant dans la seconde fenêtre. Elle a estimé qu'un tel intitulé génère nécessairement de la confusion et que l'utilisateur peut avoir le sentiment qu'il n'est pas possible de refuser le dépôt de cookies et qu'il ne dispose pas de modalités de contrôle à cet égard.
Sanctions. - La CNIL a notamment justifié le montant des amendes infligées (150 M€ à l'encontre de Google - 90 M€ pour Google LLC et 60 M€ pour Google Ireland Limited - et 60 M€ à l'encontre de Facebook) par le nombre de personnes concernées et par les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par les cookies.
Concernant Google, l'amende record qui lui est infligée est également justifiée par le fait que les services de la CNIL avaient déjà, en février 2021, attiré l'attention des sociétés sur ce manquement.
Elle a également rappelé que la CNIL avait communiqué à de nombreuses reprises sur le fait qu'il doit être aussi simple de refuser les cookies que de les accepter.
En complément des amendes administratives, une injonction sous astreinte a également été délivrée afin que les sociétés mettent à disposition des internautes situés en France, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. Dans le cas contraire, les sociétés s'exposeront au paiement d'une astreinte de 100 000 € par jour de retard.