- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Travailleurs handicapés
- Avocat
Dernières sanctions de l’année prononcées par la CNIL, et non des moindres : l’autorité s’attaque aux géants du numérique, Google et Facebook, pour ne pas avoir respecté le droit en vigueur s’agissant des cookies déposés sur les terminaux de leurs utilisateurs. En cause : un mécanisme ne garantissant pas un consentement valable de l’internaute. Ces sanctions se distinguent par l’exhaustivité apportée par la CNIL au raisonnement l’ayant conduit au prononcé de ces lourdes amendes, exhaustivité dont le régulateur n’est pas coutumier.
par Isabelle Gavanon et Valentin Le Marec, Avocats Delcadele 17 janvier 2022
Postérieurement à la publication par la CNIL de ses recommandations et lignes directrices en matière de cookies en septembre 2020, l’année 2021 a été particulièrement marquée par le renforcement des contrôles des pratiques des responsables de traitement tel qu’annoncé dans le plan d’action de l’autorité. Si plusieurs organismes ont été visés par de « simples » mises en demeure (en mai puis en juillet), les géants du web Facebook Ireland Limited (« Facebook ») d’une part, et Google LLC et Google Ireland Limited d’autre part (« Google ») ont écopé d’une sanction financière sans sommation, de respectivement 60 et 150 millions d’euros. Les décisions étant similaires, leur commentaire sera groupé.
Absence de consentement au dépôt de traceurs
Les bandeaux cookies constatés par l’autorité, sur les sites des défenseurs, se présentaient tous sous des formes quasi-identiques :
-
un premier niveau présentant un double choix à l’internaute – celui d’accepter les cookies ou d’accéder à un second niveau de paramétrage ;
- un second niveau permettant de consentir ou non avec plus de granularité à chaque typologie de traceurs selon leur finalité, et le cas échéant de refuser leurs dépôt et lecture sur le terminal utilisé.
De cette architecture découle un constat sans appel : il est plus aisé de consentir aux cookies que de les refuser. Et la CNIL de citer une étude des universités de Cambridge et du MIT selon laquelle « 93,1 % des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau » (pt [98] de la sanction c/ Facebook), une forme de lassitude exprimée par les utilisateurs ayant un impact considérable sur la stratégie publicitaire des GAFAM.
Sans surprise, la CNIL considère que compliquer ainsi le refus de cookies à travers un parcours utilisateur moins fluide revient à inciter les internautes à les accepter, alors que les deux actions devraient présenter le même degré de facilité – une position tenue par la CNIL depuis 2019, entérinée par le Conseil d’État dès juin 2020 (CE 19 juin 2020, n° 434684, pt [15], Lebon 
; AJDA 2020. 1264 ; Dalloz IP/IT 2021. 41, obs. D. Lebeau Marianna et A. Balducci ; Légipresse 2020. 343 et les obs. ; ibid. 495, étude P. Alix ; ibid. 2021. 240, étude N. Mallet-Poujol ). Par conséquent, ces modalités opérationnelles ne permettraient pas de garantir la liberté du consentement, une de ses caractéristiques visées en article 4.11 du RGPD, le Comité européen de protection des données estimant que « l’adjectif « libre » implique un choix et un contrôle réel pour les personnes concernées » (Lignes directrices du CEPD du 5/2020...
