Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Amazon, Google : des sanctions lourdes pour dépôt de cookies publicitaires sans consentement préalable et sans information satisfaisante

décembre 2020 par AFCDP

Lors de ses délibérations du 7 décembre 2020, la CNIL a prononcé deux sanctions concernant le traitement de données personnelles par des « cookies » : l’une à l’encontre d’Amazon , pour un montant de 35 millions d’euros, l’autre à l’encontre de deux sociétés de Google , pour un montant total de 100 millions d’euros.

Le montant élevé de ces sanctions (celle de Google est la plus importante prononcée à ce jour par la CNIL) s’explique par l’application de l’article 20 de la Loi Informatique et Libertés qui fixe à 2 % du chiffre d’affaires mondial, le montant maximum des sanctions encourues pour les manquements considérés.

Ces deux affaires interviennent alors que la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs , en demandant aux acteurs de se mettre en conformité avec ces règles avec un « délai de grâce » de 6 mois, soit jusqu’au 1er avril 2021.

Toutefois, la CNIL rappelle dans sa décision qu’elle n’a pas renoncé aux contrôles des obligations qui n’ont pas été modifiées par ces lignes directrices, et que les sanctions prononcées portent sur des obligations qui existaient déjà avant l’entrée en application du RGPD.

Par ailleurs, la CNIL explique que les manquements relevés entrent dans le champ de l’article 82 de la Loi Informatique et Libertés, lequel n’est pas lié au RGPD, mais issu de la transcription de la directive « vie privée et communications électroniques » (dite « ePrivacy ») . De ce fait, elle a considéré qu’elle était doublement compétente pour traiter ces dossiers : d’une part, car l’usage des cookies est le fait d’entreprises qui, bien que non françaises , ont une activité sur le territoire français où elles assurent la promotion de leurs produits et services, d’autre part parce que le mécanisme de « guichet unique » prévu par le RGPD ne s’applique pas dans le cadre de la directive « ePrivacy ». Des sanctions exemplaires pour des manquements graves aux yeux de la CNIL Dans les deux cas, les dossiers font suite à des contrôles effectués en ligne par la CNIL, sur les sites « .fr » d’Amazon et de Google. Les organismes « responsables de traitement » doivent être attentifs au fait que les contrôles de la CNIL ne s’exercent pas seulement « sur place », mais également à distance, sans information préalable. Ce qui justifie une attention particulière de la part des services concernés, en particulier les directions marketing et informatique.

Lors de ces contrôles, la CNIL a observé que lors de l’accès au site web, des cookies ayant une finalité publicitaire étaient déposés sur l’ordinateur de l’utilisateur, dans des conditions non conformes aux obligations légales.

D’une part, certains cookies publicitaires étaient déposés automatiquement sur l’ordinateur avant la moindre action de l’utilisateur. Au regard de l’article 82 de la Loi Informatique et Libertés, ce type de cookies, non essentiels au fonctionnement du site, n’auraient dû être déposé qu’après le consentement de l’internaute.

D’autre part, les informations fournies aux utilisateurs n’étaient ni claires, ni complètes. Soit en raison d’un bandeau d’information au contenu minimal, soit en raison de renvois peu explicites vers des informations complémentaires. Dans le cas d’Amazon, l’accès au site depuis une annonce publicitaire d’un site tiers conduisait même à une absence totale d’information sur les cookies. Dans le cas de Google, la CNIL a également observé qu’un cookie publicitaire restait actif, même en cas d’opposition.

Pour prononcer ses sanctions, la CNIL a considéré que les manquements observés revêtaient une certaine gravité, en privant les personnes concernées de leur droit à l’information et de leur droit d’opposition aux cookies. Cela concernait un nombre très important de personnes (plusieurs dizaines de millions d’internautes français). Elle a également tenu compte du fait que les cookies publicitaires en cause ont vocation à générer des revenus importants.

Enfin, si la CNIL a bien observé des évolutions apportées à leur site par Amazon et Google après le contrôle, elle a considéré que ces modifications étaient insuffisantes, et a demandé la mise en œuvre de compléments à réaliser dans un délai de 3 mois, avec astreinte de 100 000 euros par jour en cas de retard.

Des décisions logiques dans le contexte actuel

Les deux décisions de la CNIL paraissent inévitables dans le contexte politique et sociétal actuel. Elles interviennent à un moment où les citoyens internautes ont une conscience croissante de l’utilisation que font les entreprises de leurs données personnelles, et une perception accrue des risques que ces traitements font courir à leur vie privée. Le traçage permanent est une préoccupation majeure, dont certaines associations de consommateurs et autres ONG ont fait un cheval de bataille. Le débat politique sur la manière d’encadrer les « GAFA » ne fait qu’exacerber cette perception.

C’est dans ce cadre que la CNIL a émis ses lignes directrices sur les cookies et autres traceurs, que les organismes « responsables de traitement » ne peuvent ignorer, et qui devraient leur servir d’orientation sur la manière de se mettre en conformité.

Même si ces anomalies ne relèvent pas du RGPD, mais de la directive « ePrivacy » transcrite dans la Loi Informatique et Libertés, il était prévisible que la CNIL, comme d’autres autorités de contrôle européenne, souhaite rapidement démontrer sa vigilance, sa fermeté et son intransigeance, en appliquant, pour l’exemple, les nouveaux plafonds de sanctions mis à sa disposition, comme elle l’avait déjà fait dans un autre dossier en janvier 2019 .

Ici, ce sont bien les effets de la Directive « ePrivacy » qui ont été utilisés par la CNIL, et non le RGPD : c’est une alerte supplémentaire pour les entreprises, qui ne doivent pas négliger la Loi Informatique et Libertés, en complément du RGPD. Pour les cas de Google et Amazon, c’est aussi un moyen pour la CNIL de ne pas dépendre de l’autorité de contrôle irlandaise (DPC) qui aurait été compétente dans le cadre du RGPD. Les démêlés de Max Schrems avec Facebook, continuent en effet à démontrer que la DPC manque de moyens, et peut être de volonté politique, pour traiter avec diligence les dossiers qui lui sont soumis.

Un signe et des enjeux pour toutes les organisations

Pour l’AFCDP, l’association qui fédère les Délégués à la protection des données (DPD/DPO) et les professionnels de la protection des données personnelles, les sanctions décidées par la CNIL constituent un signal fort à l’attention des entreprises et de tous les organismes qui manipulent des données personnelles : l’application du RGPD, qui comporte des règles d’harmonisation entre les autorités de contrôle européenne, conduit désormais la CNIL à une plus grande sévérité. Au-delà de sa traditionnelle posture bienveillante d’accompagnement, la CNIL n’hésitera plus à prononcer des sanctions, et des sanctions lourdes.

Toutefois, les sanctions ne sont pas inévitables. Dans le cas spécifique des cookies, l’AFCDP recommande aux responsables de traitement de procéder à un audit précis des traceurs mis en œuvre par les développeurs sur leurs propres sites web ; sans négliger les cookies installés insidieusement par la seule référence à des réseaux sociaux, ou par le recours à des services tiers. La simple consultation d’un site, avec un navigateur doté d’un module ad hoc , permet de procéder, comme la CNIL, à ce type d’audit. Un tel audit doit conduire à vérifier si les informations fournies aux internautes sont bien présentes, complètes et compréhensibles, avant toute tentative de positionnement d’un cookie.

Les modalités de recueil du consentement de l’utilisateur doivent également être vérifiées, pour s’assurer que ce consentement est bien libre et spécifique à chaque fonctionnalité. La faculté de pouvoir aussi facilement accepter ou refuser les cookies est certainement un point de vigilance que la CNIL ne manquera pas de vérifier lors d’un contrôle.

D’une manière plus générale, l’AFCDP recommande aux organismes qui traitent des données personnelles de désigner un Délégué à la protection des données, même dans les cas où un DPD/DPO n’est pas rendu obligatoire par le RGPD, et de s’appuyer sur ses conseils et recommandations pour assurer la conformité des traitements, y compris des sites Web.

Dans ce contexte, l’AFCDP estime que le RGPD et la Loi Informatique et Libertés ne doivent pas entraver les innovations technologiques, et que leur application ne doit pas conduire à brider les activités de commerce en ligne. Toutefois, elle insiste sur la nécessité de prendre en compte le souhait légitime des citoyens de voir leurs données personnelles traitées dans le respect de leur liberté individuelle.




Voir les articles précédents

    

Voir les articles suivants