Par une décision du 31 décembre 2021, la CNIL a sanctionné le non-respect des modalités de refus des cookies par une amende record prononcée à l’encontre de Google.
À peine un an après avoir sanctionné Google d’une amende de 100 millions d’euros, en raison de manquements relatifs à « l’information des utilisateurs sur les finalités des cookies soumis au consentement et sur les moyens de refuser les cookies », la Commission Nationale de l’Informatique et des Libertés (ci-après la CNIL), inflige cette fois-ci au géant du Web une amende record de 150 millions d’euros, ainsi qu’une amende de 60 millions d’euros à Facebook, par une décision du même jour pour une problématique identique.
Ainsi, dans sa décision du 31 décembre 2021, la CNIL sanctionne le non-respect des modalités de refus des traceurs numériques utilisés pour la publicité ciblée (les fameux « cookies »). Bien que cette sanction apparaisse encore très faible au regard du chiffre d’affaires annuel de l’entreprise, qui dépasse les 180 milliards de dollars, cette décision est l’occasion, pour l’autorité française de protection des données à caractère personnel, de préciser les modalités de son contrôle en matière de cookies.
LIRE LA DÉCISION >> Délibération SAN-2021-023 du 31 décembre 2021
Le champ du contrôle de la CNIL précisé en matière de cookies
En la matière, la Directive 2002/58/CE de 2002, révisée en 2009 (ci-après la directive e-Privacy) et le Règlement 2016/679 du 27 avril 2019 (ci-après le RGPD) peuvent trouver à s’appliquer de manière simultanée. Or, la détermination du texte applicable présente un enjeu majeur pour la détermination de l’autorité de contrôle compétente.
La directive e-Privacy, transposée à l’article 82 de la loi Informatique et Liberté du 6 janvier 1978 donne compétence à la CNIL pour veiller au respect de ses dispositions, tandis que le RGPD créé quant à lui un mécanisme dit de « guichet unique », visant à harmoniser au niveau européen le traitement transfrontalier des données par une refonte des règles de compétence. Ainsi, pour les entreprises établies dans l’Union européenne et qui procèdent à des transferts de données transfrontaliers, ce règlement met fin à la compétence antérieurement accordée à chacun des États membres dans lesquels cette société avait un établissement, au profit de l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise.
Pour trancher la question de sa compétence, la CNIL reprend à son compte l’avis du Comité Européen de la Protection des Données du 12 mars 2019, et opère une distinction. Elle considère ainsi que « les opérations consistant à déposer et à lire un cookie sur le terminal d’un utilisateur » relèvent de l’article 5.3 de la directive e-Privacy tandis que « l’utilisation ultérieure qui est faite des données générées par ces cookies » est régie par le RGPD. Elle ajoute que l’article 5.3 de la directive e-Privacy constitue un texte plus restrictif que l’article 6 du RGPD et doit ainsi prévaloir sur les dispositions générales de ce texte en application de l’adage specialia generalibus derogant. En conséquence, faisant prévaloir la directive e-Privacy sur le RGPD, elle se déclare compétente pour contrôler les cookies déposés par la société Google sur les terminaux des internautes situés en France.
Soucieuse de justifier sa compétence, la CNIL développe un raisonnement discutable. D’une part, sa conclusion repose sur une distinction créée ex nihilo, ne résultant ni de la directive ni du règlement. D’autre part, l’emploi de l’expression « données générées par les cookies » surprend, car un Cookie enregistre les données de navigation sur le terminal de l’utilisateur sans générer, c’est-à-dire créer de données, raison pour laquelle l’emploi de ce terme par l’autorité de contrôle est pour le moins obscur.
Un contrôle in concreto du respect du consentement de l’utilisateur
L’article 5§3 de la directive e-Privacy exige un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées, sauf « si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique », opérant ainsi une distinction entre le traitement des cookies nécessaires et des cookies non-nécessaires.
Cet article précise que le consentement de l’utilisateur est apprécié selon la définition et les conditions des articles 4 et 7 du RGPD, preuve supplémentaire de la porosité entre les deux textes et de la difficulté à distinguer leur champ respectif d’application. Ainsi, ce consentement doit être « libre, spécifique, éclairé, univoque et l’utilisateur doit être en capacité de le retirer à tout moment, avec la même simplicité qu’il l’a accordé ». Cette dernière exigence constitue l’enjeu de la sanction prononcée.
En effet, la CNIL, alertée par des plaintes d’utilisateurs, a constaté lors d’une visite en ligne que les utilisateurs pouvaient immédiatement accepter les cookies à l’aide d’un bouton, mais qu’aucune solution équivalente ne permettait de les refuser, cinq clics étant alors nécessaires. Or, pour la formation restreinte, « rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter, revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton "j’accepte" ».
En conséquence, la directive e-Privacy ne suppose pas seulement qu’une faculté de refus soit offerte à l’utilisateur, puisqu’il n’était pas contesté que cette faculté existait en l’espèce. Encore faut-il que cette option soit effective, c'est-à-dire que le choix offert à l’utilisateur ne soit pas entravé par des complexités techniques qui le rendrait vain.
LIRE AUSSI >> Cookies et traceurs : les nouvelles recommandations de la CNIL
Un contrôle accru du respect de la législation relative au traceur numérique
La CNIL se montre particulièrement vigilante au respect de la législation relative aux Cookies, régulièrement dénoncés pour leur caractère attentatoire à la vie privée des utilisateurs.
Dans cette affaire, la CNIL raisonne en deux temps. Elle caractérise tout d’abord l’existence ou non d’un manquement avant de se prononcer sur la sanction.
Il est notable que l’autorité de protection des données personnelles considère qu’un manquement à la directive e-Privacy est caractérisé notamment lorsque les recommandations qu’elle a émises pour en préciser les modalités d’application n’ont pas été respectées. Elle explique en effet que ses recommandations s’inscrivent dans le cadre de sa mission visant à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel, et qu’elles ne sont pas source de nouvelles obligations. Toutefois, force est de constater qu’en précisant les obligations à la charge des acteurs, la CNIL dicte la conduite qu’une entreprise doit tenir pour considérer qu’elle se conforme à la législation, et exerce ainsi un rôle de création normatif.
Une fois le manquement caractérisé, la CNIL se livre à une appréciation in concreto de la gravité de celui-ci pour fixer la sanction. Elle peut prononcer une amende administrative qui ne peut excéder le montant le plus élevé entre (i) 10 millions d'euros d’une part, ou (ii) s'agissant d'une entreprise, 2 % de son chiffre d'affaires annuel mondial total de l'exercice précédent la sanction. L’article 20 de la loi informatique et Liberté renvoie à l’article 83 du RGPD s’agissant des critères permettant de déterminer le montant de l’amende, ce qui illustre à nouveau l’enchevêtrement de ces deux textes.
En l’espèce, la formation restreinte a notamment pris en compte le manque de coopération de la société, la gravité du manquement compte tenu de la nature, de la portée du traitement et du nombre de personnes concernées par ce dernier, la nature délibérée de ce dernier, ainsi que les avantages financiers obtenus grâce aux manquements. À cet égard, la CNIL rappelle de façon très générale que les cookies « permettent aux sociétés de tirer un avantage financier considérable », sans établir avec précision l’avantage financier effectivement perçu par Google. Cette absence d’analyse financière rigoureuse s’explique en réalité par le fait que la CNIL ne dispose pas des données nécessaires à un calcul plus précis de ces avantages. Il est, en effet, très difficile de déterminer dans quelle mesure les gains d’une entreprise sont liés à la politique de publicité ciblée qu’elle mène.
Répondant enfin au grief selon lequel le montant de l’amende serait injustifié, la CNIL rappelle qu’il incombe seulement à la formation de sanction de faire « apparaître de façon claire et détaillée le raisonnement qu’elle a suivi, permettant ainsi à la requérante de connaître les éléments d’appréciation pris en compte pour mesurer la gravité de l’infraction » et non le détail du calcul de l’amende. Elle explique en effet que les amendes constituent un « instrument de la politique d’une institution » et servent à orienter le comportement d’une entreprise, et qu’une prévisibilité des amendes encouragerait des calculs coûts-avantages de la part des acteurs.
Cette position apparaît néanmoins critiquable. D’une part, la volonté de conduire une politique par les sanctions financières s’éloigne des missions d’accompagnement, prévention et de sanction de cette autorité administrative indépendante, qui n’a pas vocation à se substituer au législateur. D’autre part, ce refus de détailler le montant des amendes prononcées, alors même qu’elles peuvent atteindre des montants très importants, soulève des questions en termes de conformité au droit à un recours effectif de l’article 6§1 de la Convention Européenne des Droits de l’Homme, notamment au regard de l’effectivité du contrôle que pourra effectuer la juridiction d’appel sur la motivation de la CNIL.
Au regard des capacités financières du géant du Web, il est peu probable que le montant de la sanction soit réellement dissuasif. Elle révèle néanmoins un tournant dans le contrôle mené par l’autorité de protection des données à caractère personnel. En multipliant les condamnations à l’encontre des GAFAM, cette dernière tend à affirmer une vision européenne de la protection des données à caractère personnel. Ce faisant, elle s’inscrit dans la même lignée que ses homologues européennes. Il s’agit en effet pour ces autorités de faire primer le respect de la collecte des données à caractère personnel, et de façon plus large la vie privée des internautes, sur l’aspect purement mercantile de la publicité ciblée. À l’heure où la souveraineté numérique représente un enjeu majeur sur la scène internationale, le contrôle de l’utilisation des données personnelles par les GAFAM permet à la France et plus largement à l’Union européenne de trouver leur place comme acteurs de régulation du numérique sur la scène internationale, face aux Etats-Unis.
La réglementation européenne en matière de données à caractère personnel et le contrôle renforcé de la CNIL sont déjà à l’origine de changement dans l’utilisation des cookies en Europe. En effet, Google a annoncé la suppression des cookies tiers dans son navigateur Chrome à partir de 2022. À la différence des cookies dit « natifs », qui ne collectent des données que sur un site web, les cookies tiers contiennent des informations sur le comportement de l’internaute sur l’ensemble du Web et permettent aux entreprises d’adapter leur stratégie en ligne au regard des habitudes de navigation d’un utilisateur sur d’autres sites. La disparition de ces cookies constitue un changement très important pour les entreprises qui devront adapter leur stratégie d’évaluation du comportement et des besoins des utilisateurs en ligne. Cette adaptation des entreprises constituera à n’en pas douter un nouveau défi pour la CNIL.
Retrouvez l'intégralité de la série d'été consacrée aux amendes les plus élevées prononcées en France en cliquant sur ce lien.
Cet article a été rédigé par l'équipe de rédaction du Blog Predictice.
Appelez au 
