Google et Amazon condamnés par la CNIL à 100M€ et 40M€ d’amende pour non-respect de la règlementation : cookies publicitaires, où en est-on ?

Après la publication, le 17 septembre 2020, de nouvelles lignes directrices et d’une recommandation en matière de cookies publicitaires, dans lesquelles elle insiste sur l’importance de l’information et du consentement des internautes, la CNIL vient de sanctionner lourdement Amazon et Google pour violation des règles applicables en la matière, posées par l’article 82 de la loi Informatique et Libertés modifiée.

Pourquoi la CNIL a-t-elle condamné Amazon et Google ?

Le 7 décembre 2020, la CNIL a sanctionné la société Amazon et les sociétés Google LLC et Google Ireland Limited pour violation de l’article 82 de la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

Cette condamnation fait suite à plusieurs contrôles en ligne effectués par la CNIL, au cours desquels l’Autorité a constaté que des cookies publicitaires sont déposés sur les ordinateurs des internautes lorsqu’ils consultent les sites google.fr et amazon.fr sans consentement préalable et sans information satisfaisante.

Le dépôt de cookies s’effectue dès l’arrivée des internautes sur les sites, ce qui est incompatible avec l’obligation de recueillir préalablement leur consentement. Quant aux informations fournies, elles ne sont pas claires et incomplètes :

La CNIL a donc considéré que ces sociétés ne permettaient pas aux internautes d’être préalablement et clairement renseignés sur le fait que des cookies étaient déposés sur leur ordinateur ni sur les objectifs de ces cookies et a constaté l’absence de moyens mis à leur disposition leur permettant de les refuser.

Amazon a été condamnée à une amende de 35 millions d’Euros et les filiales de Google à des amendes de 60 et 40 millions d’Euros, ces montants se justifiant par la gravité des manquements constatés. La CNIL leur fait injonction de fournir une information conforme aux internautes dans un délai de 3 mois à compter de la notification de ses décisions, sous astreinte de 100 000 euros par jour de retard.

Rappel : comment recueillir valablement le consentement des internautes ?

La CNIL rappelle que le consentement doit être libre, spécifique, éclairé et univoque et se manifester par une action positive de l’internaute (case à cocher, bouton à activer), qui aura été préalablement informé des conséquences de son choix et disposera des moyens d’accepter, de refuser et de retirer son consentement.

Le consentement doit être donné avant le dépôt et/ou la lecture de cookies.

Les nouveautés introduites par la CNIL dans ses lignes directrices et dans sa recommandation en matière de cookies

Les lignes directrices modificatives et la recommandation portant sur l’usage des cookies et autres traceurs adoptées par la CNIL le 17 septembre 2020, publiées le 1er octobre 2020, visent à tirer les conséquences de l’arrêt rendue par le Conseil d’Etat le 19 juin 2020, ayant annulé certaines dispositions antérieures (n°434684).

Les éditeurs de site internet et les acteurs de la publicité en ligne disposent d’un délai de 6 mois pour s’y conformer, i.e. avant le 1er avril 2021.

Désormais, le simple fait de poursuivre sa navigation sur un site ne peut être considéré comme l’expression valide du consentement de l’internaute.

Les internautes doivent consentir par un acte positif clair  : par exemple, en cliquant sur le bouton « j’accepte » du bandeau d’information.

La CNIL recommande également que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

Les internautes doivent être en mesure de pouvoir refuser les cookies aussi facilement qu’il leur est proposé de les accepter, comme l’a jugé le Conseil d’Etat dans son arrêt du 19 juin 2020.

La CNIL considère que lorsqu’un seul clic est requis pour accepter les cookies, tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé. Il faut donc que soit mis à la disposition des internautes des moyens simples et directs pour refuser de donner leur consentement.

La CNIL recommande que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux cookies, conservent également le refus des internautes.

 Certains cookies sont cependant exemptés du recueil de consentement, notamment pour « les opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs ».

Les cookies de mesure d’audience peuvent ainsi bénéficier d’une exemption de consentement à condition de s’être préalablement assuré qu’ils sont bien strictement nécessaires à la fourniture du service.

 Les internautes doivent être clairement informés de chaque finalité des traceurs avant de donner leur consentement ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs. Les internautes doivent également être informés des moyens de retirer leur consentement ainsi que de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.

La CNIL rappelle que les informations doivent être accessibles, à la fois depuis le premier écran puis, qu’elles soient mises à la disposition des internautes de manière permanente, à un endroit aisément accessible à tout moment sur le site internet.

Les durées de conservation diffèrent selon les cookies :

 

Contact : Stéphanie Berland, Associée en charge du Pôle IP/IT/Data