Cookies publicitaires : la CNIL contre les GAFA

07/01/2021

Par deux délibérations du 7 décembre 2020 (n° 2020-012 et 2020-013), la CNIL a condamné les pratiques d’utilisation de cookies publicitaires d’Amazon et de Google.

 

CONTEXTE

La fin de l’année 2020 s’est avérée charnière pour la CNIL en matière de cookies, ces fichiers stockés automatiquement sur l’ordinateur de l’utilisateur consultant un site Internet afin d’y sauvegarder certaines informations.

En effet, après deux délibérations en novembre à l’encontre de la société de grande distribution CARREFOUR (n° 2020-008 et 2020-009), la CNIL s’est attaquée en décembre à des adversaires de taille : Google et Amazon.

Ces délibérations font suite à des contrôles en ligne effectués plus tôt dans l’année par la CNIL, afin de vérifier le respect par les sites Internet concernés de la loi Informatique et Libertés du 6 janvier 1978.

L’article 82 de ce texte impose ainsi diverses obligations au responsable d’un site Internet qui inscrit des cookies, notamment à but publicitaire, sur l’ordinateur de l’utilisateur du site, et notamment d’informer l’utilisateur « de manière claire et complète » sur la « finalité » des cookies et les « moyens dont il dispose pour s’y opposer », ainsi que de recueillir un consentement de celui-ci.

Concrètement, ce texte est à l’origine des bordereaux présents sur la majorité des sites Internet, informant l’utilisateur sur l’inscription de cookies et lui proposant, bien souvent « d’accepter » ou « d’avoir plus d’informations » (onglet qui lui permet en général de s’opposer à certains types de cookies).

Bien que les sites Internet google.fr et amazon.com présentent tous deux de tels bordereaux, la CNIL constate que plusieurs manquements sont commis.

 

SOLUTION :

Dans un premier temps, la CNIL est amenée à se prononcer sur sa compétence pour contrôler et prononcer des sanctions à l’encontre de Google et Amazon, sociétés établies respectivement en Irlande et au Luxembourg.

Ces dernières invoquaient en effet le mécanisme du guichet unique, instauré par le RGPD, selon lequel la seule autorité de protection des données compétente est celle du pays dans lequel se trouve l’établissement principal de l’entreprise.

La CNIL rejette toutefois ces arguments, estimant que le guichet unique ne concerne pas les faits relevant de la directive ePrivacy du 12 juillet 2002, dont l’article 82 de la loi Informatique et Libertés est la transposition.

Elle s’estime de plus compétente territorialement, en application de l’article 3 de la loi précitée, refaisant l’application de la jurisprudence européenne Google Spain (arrêt de la CJUE du 13 mai 2014, C-131/12) pour considérer que les défenderesses comportaient des établissements en France, dont l’activité est de promouvoir et de commercialiser des outils publicitaires, et qu’à ce titre la loi française leur est applicable.

 

Dans un second temps, la CNIL procède au contrôle proprement dit du respect par les sites concernés des obligations posées par l’article 82 de la loi Informatique et Libertés, et relève à ce titre un certain nombre de violations.

Elle constate tout d’abord, pour les deux sites, que des cookies publicitaires sont déposés sur l’ordinateur de l’utilisateur sans action de sa part, dès l’ouverture de la page, et donc sans son consentement.

Elle relève de plus que les bordereaux prévus par les sites n’informent pas correctement l’utilisateur sur les cookies publicitaires utilisés et sur la possibilité de les refuser, et ce malgré une refonte par Google de son bordereau d’information en septembre 2020.

Enfin, s’agissant du site de Google, la CNIL relève que le mécanisme d’opposition mis en place est en partie défaillant, l’un des cookies publicitaires demeurant en place et continuant d’envoyer des informations malgré l’opposition de l’utilisateur.

 

Ces divers manquements donnent lieu à des sanctions pécuniaires non négligeables, Amazon étant condamnée à une amende de 35 millions d’euros, Google à 60 millions d’euros et Google Ireland à 40 millions d’euros, l’ensemble de ces amendes étant assorties d’astreintes.

 

RESUME :

Un site internet ne peut pas déposer automatiquement de cookies à finalité publicitaire sur l’ordinateur de l’utilisateur sans l’avoir au préalable informé et avoir obtenu son consentement.

Ces règles s’appliquent bien entendu aux « Géants du Net », dont deux représentants majeurs sont ici condamnés par la CNIL à des amendes importantes et devront faire évoluer leurs pratiques.