Confirmant nos informations publiées hier, la CNIL vient d'annoncer une sanction de 100 millions d’euros à l'encontre de Google. Amazon écope au passage de 35 millions d’euros. L’une et l’autre se voient reprocher une politique des cookies en profonde contrariété avec la loi de 1978 et au delà, la directive ePrivacy.
Après une enquête réalisée en mars 2020, la CNIL a constaté qu’à l’arrivée sur la page du moteur Google.fr, « plusieurs cookies sont automatiquement déposés sur son terminal, sans action de sa part ».
Comme nous l'avons révélé hier, la CNIL s’est estimée compétente pour traiter de cette question. En principe le règlement général sur la protection des données personnelles (RGPD) organise un système de guichet unique où, par l’application des règles territoriales, les contentieux relatifs aux données à caractère personnel sont gérés en Irlande, là où le moteur a son entité européenne. Cette fois, une loi spécifique déroge à cette disposition générale.
Ce qui concerne les cookies relève de la directive ePrivacy. Plutôt qu'instaurer un guichet unique en Europe, elle donne compétence à chaque État membre pour traiter des difficultés. Dans sa délibération, la CNIL va d’ailleurs retenir que le traitement « est suffisamment territorialisé en France pour être soumis à la loi française », via la filiale Google France. Elle souligne néanmoins que Google LLC et Google Ireland Limited en sont responsables.
Quatre cookies publicitaires, et c'est le drame
L’enquête effectuée par la CNIL a constaté « que, lors de l’arrivée sur le site web google.fr, sept cookies ont été déposés sur leur équipement terminal, avant toute action de leur part ».
Google a reconnu que quatre d’entre eux avaient une finalité publicitaire. Cependant, pour la commission, qui s’est inspirée de ses lignes directrices, le recueil d’un tel consentement doit être précédé par une information des internautes. Information jugée absente sur le bandeau placardé par Google à ce stade.
« Aucune information relative au dépôt de cookies sur l’équipement terminal n’était fournie à ce stade aux personnes concernées sur ce bandeau alors même que des cookies ayant une finalité publicitaire avaient déjà été déposés sur leur terminal dès leur arrivée sur la page google.fr ». Il y avait bien un renvoi aux règles de confidentialité, mais il n’a pas été jugé « suffisamment explicite ».
Pire, « lorsque les personnes cliquaient sur le bouton Consulter maintenant ne contenait toujours aucun développement dédié à l’usage des cookies et autres traceurs, malgré une information générale relative aux données à caractère personnel traitées par les services Google ». En outre, « les personnes n’étaient toujours pas informées à ce stade qu’elles pouvaient refuser les cookies sur leur équipement terminal ».
Enfin, « l’architecture informationnelle » était telle que pour parvenir à ces fameuses informations, « l’utilisateur devait comprendre par lui-même qu’il lui fallait faire défiler le contenu de toute la fenêtre surgissante, sans cliquer sur l’un des cinq liens hypertextes figurant dans ce contenu (…), pour finalement cliquer sur le bouton Autres options figurant tout en bas de la fenêtre ».
Pour la CNIL, c’en est trop : impossible pour les internautes « d’être préalablement et clairement renseignés sur l’existence d’opérations permettant l’accès et l’inscription d’informations contenues dans leur terminal ni, par conséquent, de la finalité de celles-ci et des moyens mis à leur disposition quant à la possibilité de les refuser ».
Une information trop limitée, pas de consentement
Dans sa délibération, l’autorité révèle que « depuis l’engagement de la procédure de sanction, les sociétés ont entrepris une série de modifications sur la manière dont elles utilisent les cookies ».
« Une avancée indéniable par rapport aux précédents bandeaux d’information » selon la commission, mais jugée insuffisante, « dans la mesure où cette information ne renseigne pas l’utilisateur sur l’ensemble des finalités des cookies déposés et des moyens dont il dispose pour s’y opposer ».
Des finalités jugées trop générales, et les utilisateurs ne sont pas informés de leur possibilité de refuser ces cookies. « En effet, les termes options ou Plus d’informations ne sont pas assez explicites pour permettre aux utilisateurs de comprendre directement l’étendue de leurs droits à l’égard des cookies déposés sur leur terminal ».
Le défaut d’information n’est pas le seul en cause. Le dépôt de sept cookies, et particulièrement ces quatre traceurs à finalité publicitaire, sans aucun consentement de l’internaute, viole l’article 82 de la loi de 1978 modifiée. Texte qui impose le recueil de ce fameux consentement pour chaque personne concernée.
Ce n’est que le 10 septembre 2020 que Google a mis un terme à ce dépôt automatique. D’autres indélicatesses ont été épinglées, s’agissant du mécanisme d’opposition.
Quand Google tacle l'instabilité du cadre juridique
Avant que le couperet tombe, Google, selon le résumé dressé par la délibération, a épinglé « l’instabilité du cadre juridique relatif aux cookies » au sein de la CNIL. « Le prononcé d’une sanction financière pour les faits en cause violerait le principe de légalité des délits et des peines, garanti à l’article 8 de la Déclaration des droits de l'homme et du citoyen ».
Alors que la CNIL s’est appuyée sur ses lignes directrices pour aiguiser sa délibération, l'entreprise a, selon le même document, insisté sur le fait que ces lignes n’avaient « pas valeur impérative au moment du contrôle en ligne du 16 mars 2020 », outre qu’en juillet 2019, la CNIL avait accordé « un délai d'adaptation de douze mois (…) afin que les responsables de traitement puissent s'y conformer ».
Réponse de la commission : « bien que les communications de la CNIL relatives aux cookies et traceurs aient connu dernièrement certaines évolutions, les pratiques à l’origine des différentes branches du manquement reproché en l’espèce aux deux sociétés ont été continuellement considérées comme non conformes », en particulier s’agissant du consentement au dépôt des cookies.
90 % du marché, 47 millions d'utilisateurs
Pour établir le montant de l’amende, la CNIL va retenir que Google Search occupe 90 % du marché, fédère 47 millions d’utilisateurs. En ne respectant pas la loi de 1978 modifiée, « les sociétés privent les utilisateurs de Google Search résidant en France de la possibilité de choisir entre des modalités de recherche préservant davantage la confidentialité de leurs données et des modalités permettant une meilleure personnalisation du service, réduisant ainsi l’autonomie informationnelle et le choix des personnes ».
De plus, « la puissance de cette position dominante donne une valeur sans égale aux cookies déposés par les sociétés à partir de leur moteur de recherche, car ils assurent les sites tiers de toucher le maximum d’utilisateurs et, s’agissant de cookies traceurs, de pouvoir les suivre avec la plus grande efficacité ».
60 millions pour Google LLC, 40 millions pour Google Irlande
La CNIL n’a pas pu aller bien loin dans l’évaluation chiffrée du chalutage de ces cookies. Les deux sociétés mises en cause n’ont en effet pas fourni le « montant du bénéfice tiré par le groupe Google de la collecte et de l’exploitation de cookies sur le marché français via le revenu généré par la publicité ciblée sur des internautes français », ce « alors qu’elles y étaient invitées dans le cadre de l’instruction du dossier ».
Une coopération a minima, des cookies installés par défaut, une information aux rabais et absence de recueil de consentement, le tout s’agissant d’un géant du Net… La CNIL a décidé d’opter pour une amende de 60 millions pour Google LLC et 40 millions pour Google Irland Limited. Les deux structures encouraient une sanction maximum de près de 2 milliards d’euros.
Ce n’est pas tout. Google se voit enjoint de respecter la décision sous trois mois, et donc suivre à la lettre les différents points mis en exergue. Dans 90 jours, une astreinte de 100 000 euros par jour de retard sera enclenchée.
Réaction de Google France
« Les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles » réagit un porte-parole de Google.
« La décision rendue par la CNIL en matière de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution » poursuit-il. « Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d'apporter des améliorations sur nos produits et services. »
35 millions d'euros à l'encontre d'Amazon
Comme l’ont révélé nos confrères de Politico hier, la commission a également prononcé une amende de 35 millions d’euros à l’encontre d’Amazon. Cette fois quatre contrôles ont été menés entre décembre 2019 et mai 2020.
Les problématiques étaient les mêmes : « des cookies étaient déposés sur le terminal de l’utilisateur dès son arrivée sur la page du site Amazon.fr », sans que celui-ci puisse exprimer son consentement. Amazon a fait valoir que « dans la mesure où le droit luxembourgeois prévoit que le consentement puisse être exprimé grâce au paramétrage du navigateur, elle a toujours recueilli valablement le consentement des utilisateurs ».
En cliquant sur « En savoir plus », le visiteur était « redirigé vers une page d’information relative à sa politique en matière de cookies ». Enfin, « dans le cas d’un utilisateur qui se rend sur le site Amazon.fr via une annonce publicitaire affichée sur un site tiers, la plupart de ces publicités comportent une icône AdChoices qui renvoie à une page où l’utilisateur peut prendre connaissance des informations sur sa politique de publicités ciblées ».
40 cookies publicitaires
Cette fois, la CNIL a relevé que ce ne sont pas 4 mais 40 cookies publicitaires qui étaient déposés sur le terminal. Le bouton « En savoir plus » sur le bandeau « ne contenait aucune information précise s’agissant des moyens mis à disposition des utilisateurs pour exprimer leur choix quant à l’inscription de cookies ».
Selon l’autorité encore, « quand bien même le paramétrage du navigateur peut dans certains cas constituer un mécanisme valable du recueil du consentement, c’est à la condition que l’utilisateur ait été préalablement informé qu’il dispose de cette possibilité, ce qui n’est pas le cas en l’espèce ».
Un bandeau trop généraliste, des finalités approximatives (« offrir et améliorer nos services »), et voilà l’utilisateur pas en mesure « de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement ». Une information réduite à néant lorsqu'il clique sur une publicité Amazon depuis un site tiers.
La délibération conteste que la poursuite de la navigation puisse valoir consentement à l’installation des cookies : cette action avait été admise « comme modalité valable d’expression du consentement dans une délibération n° 2013-378 du 5 décembre 2013 de la CNIL (mais qui ne correspond plus à l’état du droit, éclairé par la délibération n° 2020-091 du 17 septembre 2020 de la CNIL) ».
Comme Google, Amazon a tenté de mettre à jour sa politique de cookies à réception du rapport de la CNIL, mais sans satisfaire complètement l’autorité. Celle-ci a au final opté pour une amende de 35 millions d’euros (pour un chiffre d'affaires mondial de 7,7 milliards de dollars) outre une injonction de se mettre en conformité dans un délai de trois mois par jour de retard à compter de la notification de sa décision.
Amazon comme Google ont désormais la possibilité d’attaquer ces délibérations devant le Conseil d’État.
