La CNIL vient d’infliger une amende de 150 millions d’euros à l’encontre de Google, et de 60 millions à Facebook, qui ne proposaient qu'une alternative à « Accepter » : « Personnaliser les cookies ». Refuser ces traceurs étant bien plus compliqué. Plongée dans les deux (longues) délibérations publiées ce jour sur Legifrance.
L’alternative entre « Accepter » ou « personnaliser les cookies » sera-t-elle bientôt conjuguée au passé ? Pour marquer son intolérance à ce choix déséquilibré, la CNIL a décidé de taper du poing sur la table. Et pour l’occasion, elle inflige ce jour 150 millions d’euros à l’encontre de Google, et 60 autres millions d’euros à l’encontre de Facebook.
La délibération Google rappelle qu'une précédente procédure avait débuté le 16 mars 2020 à l’occasion d’un contrôle en ligne. Les agents de la CNIL jaugeaient alors la conformité des traitements mis en œuvre avec les règles fixées à l’article 82 de la loi de 1978 modifiée. Un article relatif, précisément, aux cookies :
En décembre 2020, dans une délibération révélée dans nos colonnes, la CNIL avait déjà asséné 100 millions d’euros à l’encontre de Google (et 35 millions à Amazon).
Google avait certes attaqué cette décision devant le Conseil d’État, mais celui-ci rejeta cette procédure le 4 mars 2021, dans une procédure de référé, qui se poursuit aujourd’hui au fond.
Le 30 avril 2021, la hache de guerre est enterrée. La CNIL a constaté que Google avait répondu à son injonction :
« les personnes se rendant sur le site Google.fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site ».
Enterrée ? Pas vraiment, en réalité. Le même mois, ainsi qu'en juillet 2021, la CNIL fut saisie de plusieurs plaintes : les modalités d’opposition aux cookies ne seraient toujours pas dans les clous, s’agissant aussi bien de Google.fr que de YouTube.com.
Sanctionner deux fois les mêmes faits ? Pas si vite…
Nouveau contrôle en ligne de la CNIL, et nouvelle procédure. Google s'est évidemment armé du fameux principe non bis in idem, bien connu des juristes. En substance, il interdit de sanctionner deux fois une personne pour les mêmes faits.
Refus de la CNIL qui s'en explique. Sa délibération de décembre 2020 portait en substance sur l’information des internautes à l’installation des cookies selon le droit en vigueur. Or, cette fois, le doigt est pointé sur « les modalités de refus elles-mêmes », nuance. Conclusion : « les deux procédures ne concernent pas les mêmes faits ».
Google ne pouvait feindre la surprise. Dans son communiqué de mai 2021, portant clôture de l’injonction prononcée à l’encontre du géant, l’autorité avait déjà souligné que sa décision tout juste tombée ne préjugeait en rien son analyse quant à la conformité de Google.fr aux nouvelles lignes directrices relatives aux cookies, publiées en septembre 2020.
« La CNIL se réserve désormais la possibilité de contrôler ces modalités de refus et, si nécessaire, de mobiliser l’ensemble de sa chaîne répressive », écrivait ainsi l’autorité.
De la compétence de la loi française
Dans sa précédente sanction à l'encontre de Google en décembre 2020, la CNIL s’était déjà estimée compétente pour traiter ces dossiers.
Certes, une application du règlement général sur la protection des données personnelles (RGPD) aurait dû confier ces clefs à la Data Protection Commissionner, son homologue irlandais. La Commission avait toutefois relevé que s’agissant des cookies, les règles issues de la directive ePrivacy lui permettent de se passer de ce système dit de « guichet unique ».
Même constat aujourd’hui. La CNIL fait une distinction subtile entre « les opérations consistant à déposer et à lire un cookie sur le terminal d’un utilisateur » et « l’utilisation ultérieure qui est faite des données générées par ces cookies, par exemple à des fins de profilage ».
« Chacune de ces deux étapes successives est soumise à un régime juridique différent ». Si les traitements subséquents relèvent du RGPD, la lecture et l’écriture des cookies relèvent de la directive ePrivacy.
Si la directive ePrivacy a bien renvoyé au RGPD le soin de définir ce qu’est exactement un consentement au cookie, peu importe : l’autorité s’estime bien en droit de gérer ce dossier. Une application d’un autre adage, specialia generalibus derogant, où les règles spécifiques dérogent aux règles générales. Un point qu’elle argumente longuement dans sa délibération.
Avec des traitements à des fins notamment publicitaires, effectués sur le territoire français, via Google France, qui a en charge la promotion et la commercialisation des produits de la maison... la conséquence est sans appel :
« le droit français est applicable et la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive " ePrivacy " ».
Balayées également les critiques de Google qui réclamait une mise en demeure préalable, procédure non obligatoire, ou encore le dépôt d’une question préjudicielle. « La formation restreinte ne saurait être qualifiée de juridiction (…), de sorte qu’elle n’est pas apte à poser une question préjudicielle à la Cour de justice de l’Union européenne ».
L'alternative déséquilibrée de la fenêtre cookies
Google LLC et Google Ireland Limited, reconnues responsables conjoints de ces traitements, se voient donc rappeler le coeur de l’article 82 de la loi de 1978. Un texte sur l'autel duquel le bandeau cookies de ces sociétés va laisser quelques plumes.
Cet article impose en substance l’information des internautes sur la finalité des traceurs publicitaires outre des moyens pour s’y opposer. Et s’agissant du nécessaire consentement des personnes concernées, il renvoie au RGPD le soin de le définir.
Ce consentement est donc « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Or, Google a fait sienne une pratique qu’on retrouve sur bon nombre d’autres sites : « pour donner son consentement à la lecture et/ou à l’écriture d’informations dans son terminal, l’utilisateur se rendant sur la page d’accueil des sites "google.fr" et "youtube.com" doit uniquement cliquer sur le bouton "J’accepte" de la fenêtre surgissante ».
En revanche, si l’utilisateur souhaite refuser les cookies, tout n'est pas aussi simple.
1 action pour accepter les cookies, 5 pour les refuser
Dans le bandeau cookies du moteur ou celui de YouTube, l’utilisateur qui refuse les cookies « doit effectuer au moins cinq actions (le premier clic sur le bouton "Personnaliser", puis un clic sur chacun des trois boutons pour sélectionner "Désactivé" - chaque bouton correspondant à la "personnalisation de la recherche", l’"historique YouTube" et la "personnalisation des annonces" - et enfin un clic sur "Confirmer") ».
Alors, insistons, qu’il ne doit effectuer qu’une seule action pour accepter d’être tracé.
Pour la rapporteure de la CNIL, « rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter, revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton "j’accepte" »
Une pratique peu en phase avec la doctrine de l'autorité : « Refuser les cookies doit être aussi simple qu'accepter ».
Une petite phrase que Google, dont le slogan fut « Dont Be Evil », a tenté de combattre sur le terrain du droit : « ni la directive "ePrivacy", ni le RGPD, ni l’article 82 de la loi "Informatique et Libertés" ne prévoient que l’action de refuser les cookies doit être aussi simple que de les accepter ».
Ainsi, « le fait de ne pas proposer, au premier niveau d’information, un bouton "Tout refuser" n’est pas contraire au principe de liberté du consentement dans la mesure où les utilisateurs ont bien la possibilité de refuser les cookies en cliquant sur le bouton "Personnaliser" ».
La doctrine de la CNIL
Et le G de GAFA de considérer que la CNIL ne pouvait ajouter une norme dans les textes européens. L’autorité « ne saurait, au travers de ses lignes directrices et recommandations, introduire de nouvelles exigences relatives au refus de consentement ». Ainsi, « il appartient à chaque responsable de traitement de choisir la modalité de recueil du consentement la plus approprié ».
La CNIL a confirmé que sa doctrine mise en avant dans ses nouvelles lignes directrices n’est effectivement pas normative. Elle se contente d'« illustrer concrètement [le droit applicable] ». Ceci dit, le considérant 42 du RGPD prévoit bien que la personne doit avoir une « véritable liberté de choix ». Et cette liberté implique nécessairement l’absence de biais.
Or, insiste-t-elle encore, « les utilisateurs résidant en France se rendant sur le moteur de recherche Google Search et/ou sur YouTube doivent effectuer une seule action pour accepter les cookies, alors qu’ils doivent en effectuer cinq pour les refuser. Il n’est donc pas aussi simple de refuser les cookies que de les accepter ».
150 millions d'euros, longuement justifiés
Le manquement aux dispositions de l’article 82 de la loi de 1978 est donc bien constitué. Google LLC écope d’une amende de 90 millions d’euros. Google Ireland, d’une amende de 60 millions d’euros.
Elle a tenu compte de plusieurs paramètres : une violation délibérée des textes, la richesse et la puissance de l’entreprise, et le fait que Google ait « refusé de communiquer la volumétrie du nombre de visiteurs uniques à partir des sites google.fr et youtube.com ».
D’autres points ont pesé, notamment « le nombre de personnes concernées par le manquement retenu », considéré comme « considérable », au regard de la popularité de Search et YouTube en France. Outre que le levier des cookies est fondamental pour les entreprises dont la richesse est fondée sur l'exploitation des données à caractère personnel.
La formation restreinte de la CNIL a enfin décidé de rendre publique la décision de sanction. Elle a enjoint les deux entités d’Alphabet à corriger le tir en offrant aux internautes un moyen de refuser les cookies, « présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ». Le tout sous une astreinte de 100 000 euros par jour de retard dans les trois mois suivant cette délibération.
Accepter les cookies Facebook... pour devoir les refuser
Pour la délibération Facebook, l’enquête avait débuté en avril 2021 après réception de quatre saisines en octobre 2020 et mars 2021. Là encore, les attentions se sont portées sur l’écriture et la lecture des cookies sur les terminaux des utilisateurs de Facebook.
Inévitablement la CNIL a conclu une nouvelle fois à sa compétence. Tant pis pour Facebook qui espérait elle aussi dépayser ce dossier auprès du gendarme irlandais.
La problématique est encore similaire à celle de Google : un bandeau cookie avec un gros bouton « accepter », mais l’alternative visant à refuser ces traceurs oblige cette fois l’utilisateur à effectuer trois actions, dans un schéma pour le moins alambiqué :
« D’abord cliquer sur le bouton intitulé "Gérer les paramètres de données" situé au-dessus du bouton "Accepter les cookies" de la première fenêtre, faire défiler l’intégralité du contenu de la seconde fenêtre, notamment pour constater que les deux boutons glissants commandant le dépôt de cookies publicitaires sont désactivés par défaut, et enfin cliquer sur le bouton "Tout accepter" situé au bas de cette seconde fenêtre. »
Pour l'autorité, le compte n'y est pas : « un utilisateur du web est généralement conduit à consulter de nombreux sites. La navigation sur le web se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur "Gérer les paramètres de données" et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies ».
Et elle ne se prive pas de dénoncer les contorsions de Facebook dans l’arborescence de ce choix : « un utilisateur distrait qui cliquerait sur le bouton "Accepter les cookies" figurant au bas de la seconde fenêtre ne verrait aucun cookie publicitaire déposé dans son terminal dès lors que les boutons glissants permettant d’activer le dépôt de ces cookies sont désactivés par défaut ».
Une présentation pour le moins alchimique : pour la CNIL, « il est particulièrement contre-intuitif de devoir cliquer sur un bouton intitulé "Accepter les cookies" pour en réalité refuser leur dépôt ».
Une véritable confusion dans le parcours informationnel : « ces modalités incitent plutôt l’utilisateur à penser qu’il n’est finalement pas possible de poursuivre sa navigation en ayant refusé le dépôt de cookies publicitaires puisque tout le parcours de refus des cookies repose sur une information renvoyant à l’acceptation des cookies ».
Et « ce sentiment ne peut être qu’accentué par le caractère peu explicite du bouton "Gérer les paramètres de données" proposé dans le cadre de la première fenêtre, qui ne mentionne pas clairement l’existence de moyens permettant de refuser les cookies ».
La nouvelle interface Facebook rate aussi le test
Facebook a bien tenté de freiner la procédure de sanction, en communiquant le 6 décembre 2021 des captures d’écran pour démontrer qu’une nouvelle interface plus conforme était en cours de déploiement.
L'effort n’a pas convaincu. D’une part, « cette mise à jour modifie notamment le contenu des boutons de la première fenêtre "Gérer les paramètres de données" et "Tout accepter", qui s’intitulent respectivement désormais "Autres options" et "Autoriser tous les cookies" »
D’autre part, « dans la seconde fenêtre l’ancien bouton unique "Autoriser les cookies" s’intitule désormais "Autoriser uniquement les cookies essentiels" et qu’à côté la société y a introduit un second bouton intitulé "Autoriser tous les cookies" ».
Or, la mise à jour en question ne concerne que les utilisateurs connectés sur Facebook. De plus, elle « ne met toujours pas en place des moyens permettant de refuser les cookies aussi facilement qu’ils peuvent les accepter ». Raté.
Au final, la CNIL inflige 60 millions d’euros, avec là encore une astreinte de 100 000 euros par jour de retard à l’issue d’un délai de trois mois. Soit le témoignage du degré de confiance accordé par la CNIL à ces entreprises.
Au passage, la délibération a relevé que le manquement était d’autant plus dommageable que « parallèlement à sa fonction traditionnelle de maintien et de développement des relations interpersonnelles, ce réseau social prend également une place croissante dans des domaines aussi divers que l’accès à l’information, le débat public, voire la sécurité civile via la fonctionnalité "contrôle d'absence de danger Facebook" (ou "safety check") ».
De plus, le traçage des personnes concernées « ne s’arrête pas aux frontières du réseau social » :
« Facebook met à la disposition de très nombreux sites tiers un ensemble d’outils de traçage – tels que des plugins sociaux, des boutons de connexion ou le pixel Facebook – qui vont continuer à collecter les données des utilisateurs visitant ces sites tiers pour les croiser avec les données déjà collectées dans le cadre du réseau social et ce afin d’augmenter la valorisation de ces données. Une étude de 2019 ayant révélé la présence de ces outils de traçage Facebook sur 44% des 65 000 sites web les plus consultés au monde, la portée indirecte du traitement est donc considérable. »
Google comme Facebook peuvent désormais attaquer cette décision devant le Conseil d’État, pour espérer sa réformation voire son annulation. On relèvera in fine que la CNIL n’a pas demandé l’effacement des millions de cookies glanés par ces interfaces trompeuses ou déséquilibrées.
Commentaires (53)
#1
Bonne nouvelle, j’en ai marre de toujours chercher le bouton refuser
#2
Est-ce que ces entreprises paient leurs amendes ?
Elles nagent dans le pognon, soit, mais j’ai l’impression de lire chaque semaine qu’elles sont sous le feu de la Justice (à raison).
#3
J’ai vu que le site jeuxvideo.com fait payer pour refuser les cookies publicitaires, sinon ils sont obligatoires.
C’est légal ça ??
#4
Il y a un autre problème qui n’est pas encore traité par la CNIL :
si tu cliques sur accepter, l’information est sauvegardée,
si tu fais les manipulations pour refuser les cookies pour ne conserver que les cookies ‘techniques’ étonnamment il faut répéter l’opération à chaque visite. C’est surprenant que les cookies techniques ne conservent pas cette information. Certainement une erreur d’un développeur …
La CNIL se garde encore des cartouches pour de futurs amendes ?
#4.1
La Cnil a fait un très bon boulot. Encore 3 mois à perdre du temps à chaque connexion Google, vivement le printemps.
Beaucoup de sites utilisent cette pratique (balance ta recette de cuisine :) et tant d’autres)
Tu t’abonnes ou tu manges des cookies. Mais le Conseil d’État accepte et ne respecte pas le RGPD.
#5
Pour le Conseil d’Etat, oui (alors que le RGPD dit l’inverse : il ne doit y avoir aucune contrainte au refus)…
#5.1
Non, le conseil d’état a statué que la CNIL ne pouvait pas : « dans des lignes directrices déduire « pareille interdiction générale et absolue de la seule exigence d’un consentement libre », posé par le RGPD. »
Mais il n’a jamais dit que c’était légal.
#6
Tiens, je viens d’aller sur impots.gouv.fr. Et c’est pareil, “J’accepte” et “Gérer les cookies”
#6.1
Sur impots.gouv il y a un petit laïus et un bouton pour choisir l’opt-out ( choix à durée limitée).
Mais sur https://solidarites-sante.gouv.fr/ le petit citron en bas à droite n’est pas vraiment intuitif pour refuser les cookies.
Et puisque c’est l’heure “cool” qui envisage une petite reprise de “mais vous n’aurez pas…ma liberté de surfer” ?
#7
Ahhh, le accepter les cookies sur la seconde page de Facebook c’est pour les refuser !! Je me suis toujours dit que ça me gonfler de pas pouvoir les refuser et que ce n’était pas normal. Effectivement, la confusion est bien là (même si entièrement voulu, et même recherché…)
#8
C’est ça le pire dans l’histoire. Que les utilisateurs inscrits sur Facebook se fassent sonder le colon en permanence, j’ai envie de dire tant pis pour eux. Mais qu’un non inscrit en soit de même, on est clairement dans la surveillance systématique des masses en raison de tous ces traceurs installés sciemment par les éditeurs de sites web non affiliés à cette entreprise.
Mais ça, on s’en bat les couilles.
#9
Oui :)
#9.1
A défaut de payé les taxes xD.
Du coup si on refuse de payé les impôts via le site pour cette raison (a condition qu’il n’y ai aucun autre moyen de les payés (je ne suis pas français) la loi est de notre coté) ?
#9.2
Une question pour toi Marc : où va l’argent des amendes, et à quoi sert-il ? Enfin si on le sait !
#9.3
Salut, je ne suis pas Marc, mais la CNIL indique où va l’argent des amendes : https://www.cnil.fr/fr/cnil-direct/question/sanctions-ou-va-largent-lorsquune-sanction-pecuniaire-est-prononcee-par-la-cnil
#10
Une question…une réponse : https://www.nextinpact.com/article/45548/cookie-walls-et-autres-tracking-walls-legal-pas-legal
#11
Allociné fait pareille d’ailleurs, c’est marrant, deux sources que j’évite depuis longtemps.
#11.1
Concernant les trackers “invisibles” il serait temps de plancher sur les applis que l’on ne peut désinstaller sur les téléphones..
#11.2
Je les bloque aussi (ublock, suppression des cookies immédiate, toussa, pihole aussi, mais je n’utilise pas Brave, aucune confiance en ce navigateur qui traîne un peu trop de casseroles sur la vie privée et son modèle de financement), mais je suis un cas marginal vis à vis des quantités de données générées par cette surveillance des masses.
#12
Sinon l’extension I don’t care about cookies + purge à chaque session fonctionne bien.
Et les sites sur lesquels ça ne marche pas, ben je passe à autre chose.
Merci Marc pour l’analyse, mais ça me laisse un goût amer. Tellement de temps pour commencer à recadrer ceux qui abusent le plus, alors que des sanctions directes, sans appel, à ceux qui jouent au con sur le sujet, dès le début, et on en parlait plus.
#13
#14
La même ! Et toutes les attaques (accès à mes mails à plusieurs reprises.. grave) viennent de mon téléphone. Obligée de ne plus pouvoir consulter/avoir accès à ma BAL du tel.
#15
#15.1
Je n’ai pas testé Protonmail, merci pour l’info. Mon adresse mail a été 1 mois sur le Dark web, et après installation de nouvelles couches de sécurité, un android inconnu est parvenu à accéder à mes mails le 25.12 dernier. Joyeux noël, j’avoue fatiguée de contrôler systématiquement. Porter plainte conte X ou me marier avec un pote pour changer de nom ? En tout cas, tous ces cookies, ces trackeurs m’ont sérieusement limitée dans ma vie sociale virtuelle. Mais c’est le prix de ma liberté. Provisoirement j’espère.
#16
“Glanés” ? Ce mot a le sens de ramasser, receuillir (et donc, stocker), alors que Google exploite certes les cookies, mais ne les stocke pas. Ils restent sur le terminal des utilisateurs, qui sont, eux, libres de les supprimer.
#17
#17.1
Merci pour tous ces conseils. Je vais les appliquer.
#18
Aussi élevé que soit l’amende, ce n’est absolument pas dissuasif. Google sait pertinemment qu’il viole la loi quand il met en place ce système. Mais pendant des années il a pu forcer les gens à accepter les traceurs ce qui lui a rapporté bien plus que les 150 millions. Chez les GAFAM, les amendes sont juste une dépense courante intégrée dans la stratégie de l’entreprise.
#19
C’est Webedia qui est derrière les 2. Donc logique qu’ils fassent la même chose!
Je retiens juste qu’ils n’ont pas dit que c’était illégal. Et en France, ce qui n’est pas illégal est légal…
#19.1
Au final, sur ces sites, je passe en navigation privée, les cookies sont éphémères.
#20
Je l’avais zappé !
#21
Bien fait. Ils commencent à me gonfler, tous ces sites qui demandent des contorsions pour refuser tous ou certains cookies. Tout comme ceux qui foutent la gestion fine des cookies derrière un bouton “En savoir plus”. Moins explicite, tu meurs. Beaucoup de gens ne veulent pas “en savoir plus”, donc ils ne cliqueront pas là-dessus, alors appelez ce bouton “Gérer en détail” ou “Refuser sélectivement”, je sais pas.
#22
Pourquoi une amende aussi faible ? La loi prévoie 4% du CA , faut y’aller à 4% !
Google : 4%CA = 9,568 Md\(
Facebook : 4%CA = 1,626 Md\)
On parle de 10 milliards d’euros à récupérer ! Pas 210 millions, c’est 47x moins !
Le RGPD est là de 4 ans faut arrêter de tergiverser, ils jouent aux cons, ils payent !
#22.1
C’est « juste » un choix de cookies, là, on ne parle pas d’avoir balancé l’identité de millions de gens
#23
Je suis content de cette décision qui va dans le bon sens !
La CNIL n’a qu’à la fermer face aux médias français, mais au moins elle tape sur les étrangers.
J’espère que ça dissuadera les sites français qui font pareil
#24
Et pendant ce temps des lois scélérates comme celle visant à installer le pass vaccinal ne font l’objet d’aucune censure et sont avalisées par toutes les institutions corrompues censées constituer un contre-pouvoir, dont la CNIL
Pour info, celle-ci a demandé au gouvernement à 5 reprises de lui fournir des preuves de l’efficacité du pass sanitaire, en vain
Et la CNIL sanctionne des sites pour des choses aussi futiles que des cookies !!!
Pour info, la présidente de la CNIL belge a démissionné devant toute cette imposture
#25
Umatrix est encore plus simple, leur script est bloqué, et avec en prime I don’t care about cookies, je n’ai aucun cookie ni abonnement chez eux
#25.1
Merci, je vais regarder. Rien sur iPad à priori
#26
Franchement, légal ou pas je sais pas, mais moralement ça me va. Les sites de Webedia ne me doivent rien. Perso quand je tombe sur leur popup qui me demande de payer, je me casse parce que ça m’intéresse pas tant que ça généralement, mais je respecte qu’ils doivent monétiser d’une manière ou d’une autre leur travail.
#27
Non, il y a une loi (le RGPD) qui dit que le consentement doit être libre et éclairé.
Le conseil d’état a juste statué que la CNIL ne peux pas interpréter ça comme une interdiction généralisée de tous les cookie wall, mais elle a tout à fait le droit de dire que tel ou tel cookie wall ne permet pas un consentement libre.
#28
Ce n’est pas un droit, c’est sa mission.
D’autres autorités similaires peuvent apprécier le consentement selon le point de vue de Google par exemple.
Ici on lit clairement que la notion d’égalité est absente des préoccupations du RGPD. Et c’est bien dommage de perdre encore 10 ou 15 ans au motif que les chevals sont des licornes.
#29
C’est du vent : si l’UE avait fait son boulot, elle aurait interdit les cookies tiers et c’était fini. Mais comme ils n’ont pas de froc, et que même le petit zurckenberg n’hésite pas à les ridiculiser en public, ils nous ont imposé leur avertissement inutile à la con qui nous pollue la navigation publique & privée ! Et ce n’est pas la CNIL qui changera la donne : elle n’existe que pour faire semblant d’être utile, mais quand on regarde windows et sa télémétrie infâme, on comprend tout de suite qu’en fait, elle n’a aucun pouvoir réel en UESS.
Les amendes pour du flan, les GAFAM s’en tapent : bien souvent, ils ne les payent pas au bout de X appels, et franchement : voir la CNIL crier cocorico pour 210 millions… C’est du foutage de gueule !
On est face à un espionnage américain organisé de toutes parts, qui nous a déjà coûté des centaines de milliards d’€ cumulés pour notre seul pays, et tout ce qu’on arrive péniblement à faire, c’est une fadette de 210 millions tous les 10 ans !
Je serais à la place de google ou facebook, je paierai l’amende juste par pitié, pour donner quelques grains à ces pigeons que je pille chaque jour en millions d’€, et qui m’amusent à se trémousser pour rien.
#29.1
Tiens, on t’attendait.
Tu as raison: il faut renforcer les règlements européens. Et donc l’UE.
#30
#31
Pour garder une proportionnalité avec des manquement plus grave c’est difficile de mettre l’amande max.
Par contre je suis d’accord sur le fait que là, c’est bien trop peu pour les dissuader de continuer à faire semblant de pas comprendre.
#32
Sachant que le RGPD existe depuis 2014 et qu’il est entré en vigueur en 2016, je dirais que c’est « mieux vaut tard que jamais », plutôt que « très bon boulot ».
#33
Il me parait injuste de retenir la date de 2014. Un texte certes adopté par le parlement européen, mais modifié jusqu’à fin 2015 et n’ayant aucune valeur juridique car non en vigueur.
Ce n’est qu’en 2016 qu’il rentre en vigueur, et en 2018 qu’il est applicable. Rappelons nous aussi que certains points ont été éclaircis APRES que le RGPD soit applicable. La CNIL se cherchait encore beaucoup par rapport à ce texte en 2018.
Donc grosso modo, à cause du manque d’anticipation de la CNIL pour publier ses guides, etc… les professionnels ont du attendre l’application en mai 2018 du RGPD pour se mettre en conformité. A cause de cette mise en conformité tardive, la CNIL a du attendre après la mise en application pour statuer sur certaines pratiques.
Sans vouloir défendre ni la CNIL, ni les autres, la CNIL a du attendre l’application du RGPD pour agir. Certains ont trouvé des solutions imaginatives (comme les cookie paywall), et je suis certains que la CNIL n’avait tout simplement pas anticiper se genre de solution.
En tant que professionnel de l’informatique et à l’affut du RGPD, j’ai regretté le manque d’information sur pas mal de chose et l’absence de guide avant mai 2018 de la part de la CNIL. Ils se sont beaucoup rattrapé depuis, mais c’est vrai qu’en tant que professionnel, c’est délicat de savoir ce qui est ou n’est pas autorisé à partir uniquement du RGPD lui-même. Il y a beaucoup de points qui sont soumis à interprétation et sont empreint de subjectivité.
En tout cas, je suis d’accord pour dire vaut mieux tard que jamais.
Merci ! Reste à savoir l’utilisation qui est fait de ces fonds.
Ne pas oublier non plus que c’est proportionnel par rapport aux utilisateurs en France. Taxer le CA mondial et non le bénéfice national (qui est quasi nul) ce n’est déjà pas rien. Avoir une amende de ce niveau pour 1% des utilisateurs c’est loin d’être indolore, surtout que ce n’est pas la première amende en France que se paie Google et Facebook depuis l’entrée l’application du RGPD.
Ces entités sont également sanctionnables dans les autres pays européens. Le luxembourg peut avoir la main très lourde (je crois me souvenir d’une amende de 700 millions d’€ à l’encontre d’Amazon).
Voilà, donc tout mis bout à bout, ce n’est pas rien. L’objectif du RGPD n’est pas non plus de faire fermer ces entités, ni même de les empêcher de pomper nos données. L’objectif du RGPD c’est qu’on soit au courant du pompage, de nos droits et que l’on puisse les faire appliquer.
Sinon, sur le sérieux de la CNIL, cela dépend de sur qui on tombe, comme dans beaucoup d’endroit. Par 3 fois j’ai posé une question sur l’usage du NIR (notamment, le droit ou pas de parser le NIR, non pas pour en extraire les infos, mais pour lever des alertes si les infos parsées ne correspondaient pas aux informations que nous avions), par 3 fois j’ai eu la même réponse à côté de la plaque en me disant de me référer à la FAQ et spécifiant qui avait le droit d’utiliser le NIR.
#33.1
Vous avez raison de rappeler toutes ces dates et te dire mieux vaut tard que jamais. Mais il ne faut pas omettre que les combats de la CNIL ont et sont encore “sabordés” en terme de timing pour l’adaptation de nouvelles lois. Et contre G et F, c’est le pot de terre contre le pot de fer. Donc tardivement certes, cela est une réussite. (et pour les infos glanées depuis des années par ces géants du net, cela fera peut-être l’objet d’un autre procès).
#34
On parle quand même d’un rapport de 47… C’est l’équivalent de réduire une amende 135€ à 2,87€ parce que ce n’est pas si grave !
#35
5 clics pour refuser… Dans mon commentaire de l’article de décembre 2020, je comptais au moins 10 clics sur Youtube pour refuser. À refaire à chaque fois qu’on ouvrait le site dans un onglet privé. Donc actuellement, c’est encore la plaie pour refuser, mais déjà bien moins qu’avant.
#36
êtes-vous sûr de ne pas vouloir refuser d’accepter les cookies ?
#36.1
êtes-vous sûr de ne pas détester l’idée de ne pas vouloir ne pas envisager la possibilité de ne pas refuser l’opposition à l’acceptation du refus des cookies ?
#37
si ça se trouve, à 100 000€ par jour, ils peuvent choisir de payer pour continuer à déposer des cookies…