Lors de ses délibérations du 7 décembre 2020, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé deux sanctions concernant le traitement de données personnelles par des cookies : l’une à l’encontre d’Amazon, pour un montant de 35 millions d’euros, l’autre à l’encontre de deux sociétés de Google, pour un montant total de 100 millions d’euros.
Le montant élevé de ces sanctions (celle de Google est la plus importante prononcée à ce jour par la CNIL) s’explique par l’application de l’article 20 de la loi Informatique et Libertés du 6 janvier 1978 qui fixe à 2 % du chiffre d’affaires mondial le montant maximum des sanctions encourues pour les manquements considérés.
Il convient d’abord de noter que ces deux affaires interviennent alors que la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs, en demandant aux acteurs de se mettre en conformité avec ces règles avec un « délai de grâce » de six mois, soit jusqu’au 1er avril 2021.
Toutefois, la CNIL rappelle dans sa décision qu’elle n’a pas renoncé aux contrôles des obligations qui n’ont pas été modifiées par ces lignes directrices, et que les sanctions prononcées portent sur des obligations qui existaient déjà avant l’entrée en application du règlement (UE) 2016/679 général sur la protection des données (RGPD)
Par ailleurs, la CNIL explique que les manquements relevés entrent dans le champ de l’article 82 de la loi Informatique et Libertés, lequel n’est pas lié au RGPD, mais issu de la transcription de la directive 2002/58/CE « vie privée et communications électroniques » (dite « ePrivacy »). De ce fait, elle a considéré qu’elle était doublement compétente pour traiter ces dossiers : d’une part, car l’usage des cookies est le fait d’entreprises qui, bien que non françaises1, ont une activité sur le territoire français où elles assurent la promotion de leurs produits et services, d’autre part, parce que le mécanisme de « guichet unique » prévu par le RGPD ne s’applique pas dans le cadre de la directive « ePrivacy ».
Des sanctions exemplaires pour des manquements graves aux yeux de la CNIL
Dans les deux cas, les dossiers font suite à des contrôles effectués en ligne par la CNIL, sur les sites « .fr » d’Amazon et de Google. On notera à cette occasion que les organismes « responsables de traitement » doivent être attentifs au fait que les contrôles de la CNIL ne s’exercent pas seulement « sur place », mais également à distance, sans information préalable. Ce qui justifie une attention particulière de la part des services concernés, en particulier les directions marketing et informatique.
Lors de ces contrôles, la CNIL a observé que lors de l’accès au site web, des cookies ayant une finalité publicitaire étaient déposés sur l’ordinateur de l’utilisateur, dans des conditions non conformes aux obligations légales.
D’une part, certains cookies publicitaires étaient déposés automatiquement sur l’ordinateur avant la moindre action de l’utilisateur. Au regard de l’article 82 de la loi Informatique et Libertés, les cookies de ce type, non essentiels au fonctionnement du site, n’auraient dû être déposés qu’après le consentement de l’internaute.
D’autre part, les informations fournies aux utilisateurs n’étaient ni claires ni complètes. Soit en raison d’un bandeau d’information au contenu minimal, soit en raison de renvois peu explicites vers des informations complémentaires. Dans le cas d’Amazon, l’accès au site depuis une annonce publicitaire d’un site tiers conduisait même à une absence totale d’information sur les cookies. Dans le cas de Google, la CNIL a également observé qu’un cookie publicitaire restait actif, même en cas d’opposition.
Pour prononcer ses sanctions, la CNIL a considéré que les manquements observés revêtaient une certaine gravité, en privant les personnes concernées de leur droit à l’information et de leur droit d’opposition aux cookies. Elle a également considéré que ces manquements concernaient un nombre très important de personnes (plusieurs dizaines de millions d’internautes français). Enfin, elle a tenu compte du fait que les cookies publicitaires en cause ont vocation à générer des revenus importants.
Enfin, si la CNIL a bien observé des évolutions apportées à leur site par Amazon et Google après le contrôle, elle a considéré que ces modifications étaient insuffisantes, et a demandé la mise en œuvre de compléments à réaliser dans un délai de trois mois, avec astreinte de 100 000 € par jour en cas de retard.
Des décisions logiques dans le contexte actuel
Les deux décisions de la CNIL paraissent inévitables dans le contexte politique et sociétal actuel. Elles interviennent à un moment où les citoyens internautes ont une conscience croissante de l’utilisation que font les entreprises de leurs données personnelles, et une perception accrue des risques que ces traitements font courir à leur vie privée. En particulier, le traçage permanent est une préoccupation majeure, dont certaines associations de consommateurs et autres ONG ont fait un cheval de bataille. Le débat politique sur la manière d’encadrer les « GAFA » ne fait qu’exacerber cette perception.
C’est dans ce cadre que la CNIL a émis ses lignes directrices sur les cookies et autres traceurs, que les organismes « responsables de traitement » ne peuvent ignorer, et qui devraient leur servir d’orientation sur la manière de se mettre en conformité.
En outre, même si les anomalies relevées ne relèvent pas du RGPD, mais de la directive « ePrivacy » transcrite dans la loi Informatique et Libertés, il était prévisible que la CNIL, comme d’autres autorités de contrôle européennes, souhaite rapidement montrer sa vigilance, sa fermeté et son intransigeance, en appliquant, pour l’exemple, les nouveaux plafonds de sanctions mis à sa disposition, comme elle l’avait déjà fait dans un autre dossier en janvier 20192.
On note à cette occasion que c’est bien les effets de la directive « ePrivacy » qui ont été utilisés par la CNIL, et non le RGPD : c’est une alerte supplémentaire pour les entreprises, qui ne doivent pas négliger la loi Informatique et Libertés, en complément du RGPD. Pour les cas de Google et Amazon, c’est aussi un moyen pour la CNIL de ne pas dépendre de l’autorité de contrôle irlandaise (DPC) qui aurait été compétente dans le cadre du RGPD. Les démêlés de Max Schrems avec Facebook continuent en effet à démontrer que la DPC manque de moyens et peut-être de volonté politique, pour traiter avec diligence les dossiers qui lui sont soumis. D’ailleurs, après deux ans de procédure, la DPC a annoncé le 15 décembre 2020 sa première sanction majeure à l’encontre de Twitter ; faisant suite pour la première fois à la mise en œuvre du processus de règlement des litiges prévu par l’article 65 du RGPD, au cours duquel d’autres autorités de contrôle ont plaidé pour des montants en millions d’euros, la sanction infligée par la DPC à Twitter s’élève à « seulement » 450 000 €.
Un signe et des enjeux pour toutes les organisations
Pour l’AFCDP, l’association qui fédère les délégués à la protection des données (DPD/DPO) et les professionnels de la protection des données, les sanctions décidées par la CNIL constituent un signal fort à l’attention des entreprises et de tous les organismes qui manipulent des données personnelles : l’application du RGPD, qui comporte des règles d’harmonisation entre les autorités de contrôle européenne, conduit désormais la CNIL à une plus grande sévérité. Au-delà de sa traditionnelle posture bienveillante d’accompagnement, la CNIL n’hésitera plus à prononcer des sanctions, et des sanctions lourdes.
Toutefois, les sanctions ne sont pas inévitables. Dans le cas spécifique des cookies, l’AFCDP recommande aux responsables de traitement de procéder à un audit précis des traceurs mis en œuvre par les développeurs sur leurs propres sites web ; sans négliger les cookies installés insidieusement par la seule référence à des réseaux sociaux, ou par le recours à des services tiers. La simple consultation d’un site, avec un navigateur doté d’un module ad hoc3, permet de procéder, comme la CNIL, à ce type d’audit. Un tel audit doit conduire à vérifier si les informations fournies aux internautes sont bien présentes, complètes et compréhensibles, avant toute tentative de positionnement d’un cookie.
Les modalités de recueil du consentement de l’utilisateur doivent également être vérifiées, pour s’assurer que ce consentement est bien libre et spécifique à chaque fonctionnalité. La faculté de pouvoir accepter ou refuser les cookies aussi facilement est certainement un point de vigilance que la CNIL ne manquera pas de vérifier lors d’un contrôle.
D’une manière plus générale, l’AFCDP recommande aux organismes qui traitent des données personnelles de désigner un délégué à la protection des données, même dans les cas où un DPD/DPO n’est pas rendu obligatoire par le RGPD, et de s’appuyer sur ses conseils et recommandations pour assurer la conformité des traitements, y compris des sites internet.
Dans ce contexte, l’AFCDP estime que le RGPD et la loi Informatique et Libertés ne doivent pas entraver les innovations technologiques, et que leur application ne doit pas conduire à brider les activités de commerce en ligne. Toutefois, elle insiste sur la nécessité de prendre en compte le souhait légitime des citoyens de voir leurs données personnelles traitées dans le respect de leur liberté individuelle.
Notes
1. La filiale Amazon impliquée est de droit luxembourgeois, les filiales de Google sont française, irlandaise et américaine.
2. Sanction de 50 millions d’euros confirmée par le Conseil d’État le 19 juin 2020.
3. Par ex. Cookie Manager.