14 janvier 2022
La CNIL a publié deux décisions datées du 31 décembre 2021 dans lesquelles elle sanctionne, d’une part, les sociétés Google LLC et Google Ireland Limited, et d’autre part, la société Facebook Ireland Limited, pour non-respect de la règlementation applicable en matière de cookies.
Les amendes imposées par la CNIL sont respectivement de 150 millions d’euros pour Google et 60 millions d’euros pour Facebook. En complément des amendes administratives, la formation restreinte a également enjoint les sociétés de corriger le manquement constaté dans un délai de 3 mois. L’injonction est assortie d’une astreinte de 100 000 euros par jour de retard à l’issue de ce délai.
Ces décisions s’inscrivent dans la démarche initiée par la CNIL dès 2020 et visant à contrôler avec plus de rigueur le respect de la règlementation applicable en matière de cookies. En mars 2021, la CNIL annonçait à nouveau qu’elle ferait du respect des obligations en matière de ciblage publicitaire et de profilage des internautes une priorité dans le cadre de sa stratégie de contrôle.
Depuis le 1er avril 2021, date à laquelle le délai accordé aux entreprises pour se conformer à ses nouvelles lignes directrices en la matière expirait, elle a procédé à de nombreux contrôles et mis en demeure une soixantaine de sociétés pour des agissements similaires à ceux visés dans les décisions rendues contre Google et Facebook.
Conformément à l’article 82 de la loi Informatique et libertés, qui transpose la directive E-privacy, le dépôt de cookies sur le terminal d’un utilisateur nécessite son consentement préalable (sauf pour certains cookies dits « essentiels »).
En juillet 2019, puis en septembre 2020, la CNIL a publié de nouvelles recommandations en matière de cookies. La CNIL y détaille notamment les conditions dans lesquelles les éditeurs de sites web doivent procéder afin d’obtenir un consentement valide de leurs utilisateurs au dépôt de cookies. Elle rappelle notamment que le consentement doit être libre, ce qui implique qu’il doit être aussi facile pour un utilisateur d’accepter le dépôt de cookies que de le refuser.
Ainsi, si le bandeau cookies d’un site web offre la possibilité à l’utilisateur de consentir de manière globale au dépôt de tous les cookies (via la mise en place d’un bouton « accepter tous les cookies »), il doit également permettre de refuser de manière aussi aisée le dépôt de tous les cookies (avec un bouton équivalent « refuser tous les cookies »). Or, sur les sites google.fr, youtube.com et facebook.fr, l’utilisateur doit effectuer plusieurs actions afin de pouvoir refuser le dépôt de cookies alors qu’il peut les accepter en un seul clic dès son arrivée sur la page d’accueil des sites concernés.
Avec ces deux décisions, la CNIL frappe fort et inflige une nouvelle amende record (150 millions d’euros pour Google). S’agissant de la détermination des montants des amendes, la CNIL tient notamment compte :
par plusieurs auteurs
Flash IP/IT
par plusieurs auteurs
Flash IP
par Marc Schuler et Inès Tribouillet