Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

Une note salée pour les cookies !

Dernières sanctions de l’année prononcées par la CNIL, et non des moindres : l’autorité s’attaque aux géants du numérique, Google et Facebook, pour ne pas avoir respecté le droit en vigueur s’agissant des cookies déposés sur les terminaux de leurs utilisateurs. En cause : un mécanisme ne garantissant pas un consentement valable de l’internaute. Ces sanctions se distinguent par l’exhaustivité apportée par la CNIL au raisonnement l’ayant conduit au prononcé de ces lourdes amendes, exhaustivité dont le régulateur n’est pas coutumier.

Postérieurement à la publication par la CNIL de ses recommandations et lignes directrices en matière de cookies en septembre 2020, l’année 2021 a été particulièrement marquée par le renforcement des contrôles des pratiques des responsables de traitement tel qu’annoncé dans le plan d’action de l’autorité. Si plusieurs organismes ont été visés par de « simples » mises en demeure (en mai puis en juillet), les géants du web Facebook Ireland Limited (« Facebook ») d’une part, et Google LLC et Google Ireland Limited d’autre part (« Google ») ont écopé d’une sanction financière sans sommation, de respectivement 60 et 150 millions d’euros. Les décisions étant similaires, leur commentaire sera groupé.

Absence de consentement au dépôt de traceurs

Les bandeaux cookies constatés par l’autorité, sur les sites des défenseurs, se présentaient tous sous des formes quasi-identiques :

  • un premier niveau présentant un double choix à l’internaute – celui d’accepter les cookies ou d’accéder à un second niveau de paramétrage ;
     
  • un second niveau permettant de consentir ou non avec plus de granularité à chaque typologie de traceurs selon leur finalité, et le cas échéant de refuser leurs dépôt et lecture sur le terminal utilisé.

De cette architecture découle un constat sans appel : il est plus aisé de consentir aux cookies que de les refuser. Et la CNIL de citer une étude des universités de Cambridge et du MIT selon laquelle « 93,1 % des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau » (pt [98] de la sanction c/ Facebook), une forme de lassitude exprimée par les utilisateurs ayant un impact considérable sur la stratégie publicitaire des GAFAM.

Sans surprise, la CNIL considère que compliquer ainsi le refus de cookies à travers un parcours utilisateur moins fluide revient à inciter les internautes à les accepter, alors que les deux actions devraient présenter le même degré de facilité – une position tenue par la CNIL depuis 2019, entérinée par le Conseil d’État dès juin 2020 (CE 19 juin 2020, n° 434684, pt [15], Lebon ; AJDA 2020. 1264 ; Dalloz IP/IT 2021. 41, obs. D. Lebeau Marianna et A. Balducci ; Légipresse 2020. 343 et les obs. ; ibid. 495, étude P. Alix ; ibid. 2021. 240, étude N. Mallet-Poujol ). Par conséquent, ces modalités opérationnelles ne permettraient pas de garantir la liberté du consentement, une de ses caractéristiques visées en article 4.11 du RGPD, le Comité européen de protection des données estimant que « l’adjectif « libre » implique un choix et un contrôle réel pour les personnes concernées » (Lignes directrices du CEPD du 5/2020...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :