La Commission Nationale de l’Informatique et des Libertés (CNIL), autorité française pour la protection des données personnelles, a annoncé qu’elle avait décidé par le moyen d’une double mesure, de sanctionner Google (Google LLC et Google Ireland) d’une amende totale de 100 millions d’euro et Amazon Europe Core d’une amende de 35 millions d’euros pour la violation des règles d’utilisation des cookies publicitaires. Les décisions ont été prises sans recourir au mécanisme du « guichet unique » (one-stop shop) prévu par le GDPR ; c’est parce que le traitement des données provenant de l’utilisation des cookies relève du champ d’application de la directive ePrivacy 2002/58/CE transposée par l’article 82 de la loi français sur la protection des données. En conséquence, la CNIL s’est considérée territorialement compétente puisque, dans le cas de Google, l’utilisation de cookies se fait dans le cadre des « activités » de la société Google France qui est l’« établissement » sur le territoire français de Google LLC et Google Ireland Limited et promeut leurs produits et services. Google LLC et Google Ireland Limited sont tenus conjointement responsables, car ils déterminent à la fois les buts et les moyens liés à l’utilisation des cookies. Dans le cas du géant du e-commerce, toutefois, l’utilisation de cookies se fait dans le cadre des activités de la société Amazon France qui constitue l’« établissement » sur le territoire Français de la société luxembourgeoise Amazon Europe Core et garantit la promotion de ses produits et services.
Toutefois, dans le cadre de son plan d’action en matière de publicité comportementale (behavioural advertising), la CNIL a publié ces derniers mois une mise à jour de ses lignes directrices spécifiquement pour l’utilisation des cookies et une recommandation actualisée sur le sujet le 1er octobre 2020.
En ce qui concerne Amazon, la CNIL a d’abord mené une série d’enquêtes concernant, entre autres, le site amazon.fr, à la suite duquel l’autorité française a pris acte d’un automatisme dangereux : en effet, une fois accédant au site en question, de nombreux cookies ont été directement installés sur l’appareil du sujet de données, sans aucun choix. En outre, bon nombre de ces cookies ont ensuite été utilisés à des fins publicitaires.
Les faits observés contredaient l’article 82 de la Loi Informatique et Libertés de 1978 qui, en France, transposait la directive européenne 2002/58/CE, modifiée par la directive 2009/136/CE (la directive sur la protection de la vie privée électronique).
En fait, l’infraction disponible oblige les gestionnaires de site Web à demander le consentement des utilisateurs du site pour l’installation et l’utilisation de cookies qui ne sont pas essentiels pour le fonctionnement du site lui-même.
Les cookies inutiles, y compris ceux installés à des fins publicitaires ou de profilage de l’utilisateur, ne peuvent être installés qu’après avoir obtenu le consentement préalable du sujet de données.
De plus, il y avait un manque d’information fournie aux utilisateurs du site et, de toute façon, le peu d’information fournie n’était même pas clair.
L’autorité, en particulier, a critiqué l’imprécision de la description des buts des cookies utilisés sur le site contenu dans la bannière qui apparaissait l’entrée : « By using this website, you accept our use of cookies allowing to offer and improve our services. Read More”.
La description générale et approximative de la bannière sur les fins de tous les cookies déposés signifiait que l’utilisateur n’était pas en mesure de comprendre à première vue, comme l’exige la loi, que les cookies insérés dans son appareil avaient pour but principal d’afficher de la publicité personnalisée.
La CNIL a également noté que la bannière n’indiquait pas à l’utilisateur le droit de refuser ces cookies et les moyens à sa disposition à cette fin. En outre, le Conseil a conclu que la violation était encore plus évidente dans le cas des utilisateurs visitant le site de amazon.fr après avoir cliqué sur une annonce affichée sur un autre site Web : même dans ces cas, les mêmes cookies ont été publiés sans fournir d’informations aux utilisateurs.
L’Autorité a donc noté que, au moins jusqu’au restyling du site web en septembre 2020, la société avait installé des cookies sur les appareils de millions d’utilisateurs de français sans leur fournir suffisamment d’informations conformément à la loi susmentionnée.
En outre, la CNIL n’a pas suffisamment pris en compte les modifications apportées au site de amazon.fr, qui concernaient également les informations sur la bannière, afin que les utilisateurs comprennent que les cookies sont principalement utilisés pour leur offrir de la publicité personnalisée ainsi que la possibilité de refuser l’utilisation de cookies.
En conséquence, en plus de la sanction financière, la CNIL a ordonné à Amazon d’informer adéquatement les utilisateurs du site dans les trois mois suivant la notification de la décision, devant payer une pénalité de 100.000 euros pour chaque jour de retard possible.
A l’image de ce qui s’est passé pour Amazon, même dans le cas de Google, la CNIL a détecté une utilisation déformée des cookies : en effet, lorsqu’un utilisateur s’est rendu sur le site de google.fr, ils ont été installés sur le dispositif de la même manière sans que ce dernier n’ait pris de mesures, etcertains d’entre eux ont été utilisés à des fins publicitaires, il a donc contesté trois violations de l’article 82 de la Loi Informatique et Libertés.
Le premier, pour l’omission d’obtenir le consentement préalable de l’utilisateur pour l’installation de cookies utilisés à des fins de profilage.
Deuxièmement, les bannières affichées par les utilisateurs ne présentaient pas suffisamment d’informations concernant les cookies qui, de toute façon, avaient déjà été installés sur l’appareil de l’utilisateur, ainsi que sur la façon dont ils pouvaient être rejetés. En particulier, ce qui suit a été déclaré : « Privacy reminder from Google », avec seulement deux options différentes « Remind me later” et “Access now ».
Enfin, l’Autorité a constaté une nouvelle violation concernant le mécanisme d’opposition proposé par Google. En particulier, lorsque l’utilisateur a désactivé la personnalisation des annonces sur Google, en utilisant l’outil approprié accessible à partir de la bannière, l’un des cookies de profilage était toujours stocké sur l’appareil de l’utilisateur, continuant à fonctionner sans recevoir l’attribut cookie soumis à « opt-out » par l’utilisateur. Le mécanisme d’opposition (et non pas aussi le retrait du consentement, puisque cela n’a pas été, en fait, obtenu) était donc vicié et violait l’art. 82 de la Loi Informatique et Libertés.
Depuis le 10 septembre 2020, les deux sociétés n’installent plus automatiquement des cookies de profilage sur les appareils de Français utilisateurs visitant le site google.fr. Toutefois, même en l’espèce, la CNIL a constaté que les informations fournies ne sont pas encore suffisantes car elles ne permettent pas une compréhension claire des objectifs des cookies utilisés. Elles sont également incomplètes, car les personnes concernées ne savent pas encore qu’il est possible de s’y opposer. En conséquence, dans un délai de 3 mois, les entreprises devront adapter les informations fournies conformément aux dispositions de l’art. 82 de la Loi Informatique et Libertés (encore une fois, comme pour Amazon, une pénalité de 100.000 euros devra être payée pour chaque jour de retard).