07 Jan Sanctions de Google et Facebook pour atteinte à la liberté de consentement de leurs utilisateurs
Le 31 décembre 2021, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé deux importantes sanctions à l’encontre des géants du numérique Google (150 millions d’euros) et Facebook (60 millions d’euros) pour ne pas avoir assuré la liberté du consentement de leurs utilisateurs quant aux cookies déposés sur leur terminal.
Faisant suite à plusieurs plaintes concernant les modalités de refus des cookies sur google.fr, youtube.com, et facebook.com, les services de la CNIL ont procédé à des contrôles en ligne en date du 1er juin 2021 pour les sites de Google et du 8 avril 2021 pour celui de Facebook.
Les décisions se fondent sur un manquement à l’article 82 de la loi « Informatique et Libertés » du 6 janvier 1978 (dite LIL), telle qu’éclairée par les exigences renforcées en matière de consentement posées par le Règlement Général de la Protection des Données (RGPD), datant du 27 avril 2016.
Pour Google, cette amende fait suite à une première sanction prononcée par la CNIL le 7 décembre 2020 pour manquement à la même disposition de la LIL (notamment). A l’époque, la CNIL avait sanctionné Google LLC à 60 millions d’euros et Google Ireland Limited à 40 millions d’euros, en considérant notamment que l’information fournie par Google concernant les finalités des cookies soumis au consentement n’était pas assez claire et complète.
Des manquements à la loi Informatique et Libertés
Aux termes de l’article 82 de la LIL, l’utilisateur d’un service de communications électroniques « doit être informé de manière claire et complète (…) de la finalité de toute action tendant (…) à inscrire des informations dans son terminal ».
Dans ses décisions, la CNIL rappelle que cet article, né de la transposition en droit français de la directive européenne « ePrivacy » 2002/58/CE, doit être lu et appliqué en combinaison avec les dispositions du RGPD. Le consentement de l’utilisateur au dépôt des cookies sur son terminal doit donc être libre et univoque. Il ne peut être donné que par un « acte positif clair » et doit octroyer à l’utilisateur une « véritable liberté de choix ».
La CNIL a considéré qu’une telle liberté de choix n’existait pas dans le cas de Google et Facebook, puisque les modalités de refus de dépôt de leurs cookies sur le terminal des utilisateurs étaient trop longues et complexes.
Des mécanismes de refus des cookies jugés trop complexes
Cette exigence de liberté du consentement appliquée aux cookies signifie qu’il doit être aussi facile de refuser les cookies que de les accepter. Concrètement s’il ne faut qu’un clic de l’utilisateur pour accepter l’ensemble de cookies, un seul clic doit également suffire pour refuser le dépôt de tous les cookies soumis au consentement.
Or, si une seule action permet effectivement à l’utilisateur d’accepter tous les cookies sur google.fr, youtube.com et facebook.com, le parcours de refus s’avère bien plus fastidieux. En ce qui concerne Facebook, l’utilisateur devra effectuer pas moins de trois actions : cliquer sur le bouton ” Gérer les paramètres de données “, faire défiler l’intégralité du contenu de la seconde fenêtre, et enfin cliquer sur le bouton” Tout accepter ” situé au bas de cette seconde fenêtre. Quant à Google, il devra effectuer un minimum de cinq actions.
Forte de ces constatations, la CNIL considère que ces modalités ne permettent pas à l’utilisateur d’exercer un choix libre puisqu’elles l’incitent à accepter le dépôt des cookies plutôt qu’à le refuser. Elle cite d’ailleurs, à l’appui de ses déclarations, une étude menée par des chercheurs universitaires qui aurait démontré que 93,1% des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser.
Le recueil du consentement des utilisateurs de ces sites n’étant pas conforme au RGPD et à la LIL, la formation restreinte de la CNIL a prononcé une amende administrative de 90 millions d’euros à l’encontre de la société Google LLC, de 60 millions d’euros à l’encontre de Google Ireland Limited et de 60 millions d’euros à l’encontre de Facebook Ireland Limited. En raison de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées, l’autorité a décidé de rendre ces décisions publiques et de les assortir d’astreintes par jour de retard, une fois que sera écoulé le délai octroyé aux entreprises pour se mettre en conformité.
Ces sanctions s’inscrivent dans la stratégie globale de mise en conformité menée par la CNIL depuis la publication de ses nouvelles recommandations relatives aux cookies en octobre 2020, et dans le cadre de laquelle elle a déjà mis en demeure environ 90 acteurs éditant des sites à forte fréquentation. Pour rappel, la CNIL considérait que la mise en conformité des éditeurs de site internet aux nouvelles règles ne devait pas dépasser 6 mois, soit intervenir au plus tard fin mars 2021.
Pour finir, la délibération contre Google a aussi été l’occasion pour la CNIL de rappeler la responsabilité conjointe des entreprises Google LLC et Google Ireland Limited. Ces dernières déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Google Search et de YouTube. Elles doivent donc être considérées comme coresponsables de traitement, notion définie par l’arrêt Témoins de Jéhovah de la CJUE (CJUE, 10 juillet 2018, C 25/17), et peuvent valablement être toutes deux sanctionnées pour un manquement lié aux cookies du groupe GOOGLE.