La CNIL vient d’infliger une amende de 150 millions d’euros à l’encontre de Google, et de 60 millions à Facebook, qui ne proposaient qu'une alternative à « Accepter » : « Personnaliser les cookies ». Refuser ces traceurs étant bien plus compliqué. Plongée dans les deux (longues) délibérations publiées ce jour sur Legifrance.
L’alternative entre « Accepter » ou « personnaliser les cookies » sera-t-elle bientôt conjuguée au passé ? Pour marquer son intolérance à ce choix déséquilibré, la CNIL a décidé de taper du poing sur la table. Et pour l’occasion, elle inflige ce jour 150 millions d’euros à l’encontre de Google, et 60 autres millions d’euros à l’encontre de Facebook.
La délibération Google rappelle qu'une précédente procédure avait débuté le 16 mars 2020 à l’occasion d’un contrôle en ligne. Les agents de la CNIL jaugeaient alors la conformité des traitements mis en œuvre avec les règles fixées à l’article 82 de la loi de 1978 modifiée. Un article relatif, précisément, aux cookies :
En décembre 2020, dans une délibération révélée dans nos colonnes, la CNIL avait déjà asséné 100 millions d’euros à l’encontre de Google (et 35 millions à Amazon).
Google avait certes attaqué cette décision devant le Conseil d’État, mais celui-ci rejeta cette procédure le 4 mars 2021, dans une procédure de référé, qui se poursuit aujourd’hui au fond.
Le 30 avril 2021, la hache de guerre est enterrée. La CNIL a constaté que Google avait répondu à son injonction :
« les personnes se rendant sur le site Google.fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site ».
Enterrée ? Pas vraiment, en réalité. Le même mois, ainsi qu'en juillet 2021, la CNIL fut saisie de plusieurs plaintes : les modalités d’opposition aux cookies ne seraient toujours pas dans les clous, s’agissant aussi bien de Google.fr que de YouTube.com.
Sanctionner deux fois les mêmes faits ? Pas si vite…
Nouveau contrôle en ligne de la CNIL, et nouvelle procédure. Google s'est évidemment armé du fameux principe non bis in idem, bien connu des juristes. En substance, il interdit de sanctionner deux fois une personne pour les mêmes faits.
Refus de la CNIL qui s'en explique. Sa délibération de décembre 2020 portait en substance sur l’information des internautes à l’installation des cookies selon le droit en vigueur. Or, cette fois, le doigt est pointé sur « les modalités de refus elles-mêmes », nuance. Conclusion : « les deux procédures ne concernent pas les mêmes faits ».
Google ne pouvait feindre la surprise. Dans son communiqué de mai 2021, portant clôture de l’injonction prononcée à l’encontre du géant, l’autorité avait déjà souligné que sa décision tout juste tombée ne préjugeait en rien son analyse quant à la conformité de Google.fr aux nouvelles lignes directrices relatives aux cookies, publiées en septembre 2020.
« La CNIL se réserve désormais la possibilité de contrôler ces modalités de refus et, si nécessaire, de mobiliser l’ensemble de sa chaîne répressive », écrivait ainsi l’autorité.
De la compétence de la loi française
Dans sa précédente sanction à l'encontre de Google en décembre 2020, la CNIL s’était déjà estimée compétente pour traiter ces dossiers.
Certes, une application du règlement général sur la protection des données personnelles (RGPD) aurait dû confier ces clefs à la Data Protection Commissionner, son homologue irlandais. La Commission avait toutefois relevé que s’agissant des cookies, les règles issues de la directive ePrivacy lui permettent de se passer de ce système dit de « guichet unique ».
Même constat aujourd’hui. La CNIL fait une distinction subtile entre « les opérations consistant à déposer et à lire un cookie sur le terminal d’un utilisateur » et « l’utilisation ultérieure qui est faite des données générées par ces cookies, par exemple à des fins de profilage ».
« Chacune de ces deux étapes successives est soumise à un régime juridique différent ». Si les traitements subséquents relèvent du RGPD, la lecture et l’écriture des cookies relèvent de la directive ePrivacy.
Si la directive ePrivacy a bien renvoyé au RGPD le soin de définir ce qu’est exactement un consentement au cookie, peu importe : l’autorité s’estime bien en droit de gérer ce dossier. Une application d’un autre adage, specialia generalibus derogant, où les règles spécifiques dérogent aux règles générales. Un point qu’elle argumente longuement dans sa délibération.
Avec des traitements à des fins notamment publicitaires, effectués sur le territoire français, via Google France, qui a en charge la promotion et la commercialisation des produits de la maison... la conséquence est sans appel :
« le droit français est applicable et la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive " ePrivacy " ».
Balayées également les critiques de Google qui réclamait une mise en demeure préalable, procédure non obligatoire, ou encore le dépôt d’une question préjudicielle. « La formation restreinte ne saurait être qualifiée de juridiction (…), de sorte qu’elle n’est pas apte à poser une question préjudicielle à la Cour de justice de l’Union européenne ».
L'alternative déséquilibrée de la fenêtre cookies
Google LLC et Google Ireland Limited, reconnues responsables conjoints de ces traitements, se voient donc rappeler le coeur de l’article 82 de la loi de 1978. Un texte sur l'autel duquel le bandeau cookies de ces sociétés va laisser quelques plumes.
Cet article impose en substance l’information des internautes sur la finalité des traceurs publicitaires outre des moyens pour s’y opposer. Et s’agissant du nécessaire consentement des personnes concernées, il renvoie au RGPD le soin de le définir.
Ce consentement est donc « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Or, Google a fait sienne une pratique qu’on retrouve sur bon nombre d’autres sites : « pour donner son consentement à la lecture et/ou à l’écriture d’informations dans son terminal, l’utilisateur se rendant sur la page d’accueil des sites "google.fr" et "youtube.com" doit uniquement cliquer sur le bouton "J’accepte" de la fenêtre surgissante ».
En revanche, si l’utilisateur souhaite refuser les cookies, tout n'est pas aussi simple.
1 action pour accepter les cookies, 5 pour les refuser
Dans le bandeau cookies du moteur ou celui de YouTube, l’utilisateur qui refuse les cookies « doit effectuer au moins cinq actions (le premier clic sur le bouton "Personnaliser", puis un clic sur chacun des trois boutons pour sélectionner "Désactivé" - chaque bouton correspondant à la "personnalisation de la recherche", l’"historique YouTube" et la "personnalisation des annonces" - et enfin un clic sur "Confirmer") ».
Alors, insistons, qu’il ne doit effectuer qu’une seule action pour accepter d’être tracé.
Pour la rapporteure de la CNIL, « rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter, revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton "j’accepte" »
Une pratique peu en phase avec la doctrine de l'autorité : « Refuser les cookies doit être aussi simple qu'accepter ».
Une petite phrase que Google, dont le slogan fut « Dont Be Evil », a tenté de combattre sur le terrain du droit : « ni la directive "ePrivacy", ni le RGPD, ni l’article 82 de la loi "Informatique et Libertés" ne prévoient que l’action de refuser les cookies doit être aussi simple que de les accepter ».
Ainsi, « le fait de ne pas proposer, au premier niveau d’information, un bouton "Tout refuser" n’est pas contraire au principe de liberté du consentement dans la mesure où les utilisateurs ont bien la possibilité de refuser les cookies en cliquant sur le bouton "Personnaliser" ».
La doctrine de la CNIL
Et le G de GAFA de considérer que la CNIL ne pouvait ajouter une norme dans les textes européens. L’autorité « ne saurait, au travers de ses lignes directrices et recommandations, introduire de nouvelles exigences relatives au refus de consentement ». Ainsi, « il appartient à chaque responsable de traitement de choisir la modalité de recueil du consentement la plus approprié ».
La CNIL a confirmé que sa doctrine mise en avant dans ses nouvelles lignes directrices n’est effectivement pas normative. Elle se contente d'« illustrer concrètement [le droit applicable] ». Ceci dit, le considérant 42 du RGPD prévoit bien que la personne doit avoir une « véritable liberté de choix ». Et cette liberté implique nécessairement l’absence de biais.
Or, insiste-t-elle encore, « les utilisateurs résidant en France se rendant sur le moteur de recherche Google Search et/ou sur YouTube doivent effectuer une seule action pour accepter les cookies, alors qu’ils doivent en effectuer cinq pour les refuser. Il n’est donc pas aussi simple de refuser les cookies que de les accepter ».
150 millions d'euros, longuement justifiés
Le manquement aux dispositions de l’article 82 de la loi de 1978 est donc bien constitué. Google LLC écope d’une amende de 90 millions d’euros. Google Ireland, d’une amende de 60 millions d’euros.
Elle a tenu compte de plusieurs paramètres : une violation délibérée des textes, la richesse et la puissance de l’entreprise, et le fait que Google ait « refusé de communiquer la volumétrie du nombre de visiteurs uniques à partir des sites google.fr et youtube.com ».
D’autres points ont pesé, notamment « le nombre de personnes concernées par le manquement retenu », considéré comme « considérable », au regard de la popularité de Search et YouTube en France. Outre que le levier des cookies est fondamental pour les entreprises dont la richesse est fondée sur l'exploitation des données à caractère personnel.
La formation restreinte de la CNIL a enfin décidé de rendre publique la décision de sanction. Elle a enjoint les deux entités d’Alphabet à corriger le tir en offrant aux internautes un moyen de refuser les cookies, « présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ». Le tout sous une astreinte de 100 000 euros par jour de retard dans les trois mois suivant cette délibération.
Accepter les cookies Facebook... pour devoir les refuser
Pour la délibération Facebook, l’enquête avait débuté en avril 2021 après réception de quatre saisines en octobre 2020 et mars 2021. Là encore, les attentions se sont portées sur l’écriture et la lecture des cookies sur les terminaux des utilisateurs de Facebook.
Inévitablement la CNIL a conclu une nouvelle fois à sa compétence. Tant pis pour Facebook qui espérait elle aussi dépayser ce dossier auprès du gendarme irlandais.
La problématique est encore similaire à celle de Google : un bandeau cookie avec un gros bouton « accepter », mais l’alternative visant à refuser ces traceurs oblige cette fois l’utilisateur à effectuer trois actions, dans un schéma pour le moins alambiqué :
« D’abord cliquer sur le bouton intitulé "Gérer les paramètres de données" situé au-dessus du bouton "Accepter les cookies" de la première fenêtre, faire défiler l’intégralité du contenu de la seconde fenêtre, notamment pour constater que les deux boutons glissants commandant le dépôt de cookies publicitaires sont désactivés par défaut, et enfin cliquer sur le bouton "Tout accepter" situé au bas de cette seconde fenêtre. »
Pour l'autorité, le compte n'y est pas : « un utilisateur du web est généralement conduit à consulter de nombreux sites. La navigation sur le web se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur "Gérer les paramètres de données" et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies ».
Et elle ne se prive pas de dénoncer les contorsions de Facebook dans l’arborescence de ce choix : « un utilisateur distrait qui cliquerait sur le bouton "Accepter les cookies" figurant au bas de la seconde fenêtre ne verrait aucun cookie publicitaire déposé dans son terminal dès lors que les boutons glissants permettant d’activer le dépôt de ces cookies sont désactivés par défaut ».
Une présentation pour le moins alchimique : pour la CNIL, « il est particulièrement contre-intuitif de devoir cliquer sur un bouton intitulé "Accepter les cookies" pour en réalité refuser leur dépôt ».
Une véritable confusion dans le parcours informationnel : « ces modalités incitent plutôt l’utilisateur à penser qu’il n’est finalement pas possible de poursuivre sa navigation en ayant refusé le dépôt de cookies publicitaires puisque tout le parcours de refus des cookies repose sur une information renvoyant à l’acceptation des cookies ».
Et « ce sentiment ne peut être qu’accentué par le caractère peu explicite du bouton "Gérer les paramètres de données" proposé dans le cadre de la première fenêtre, qui ne mentionne pas clairement l’existence de moyens permettant de refuser les cookies ».
La nouvelle interface Facebook rate aussi le test
Facebook a bien tenté de freiner la procédure de sanction, en communiquant le 6 décembre 2021 des captures d’écran pour démontrer qu’une nouvelle interface plus conforme était en cours de déploiement.
L'effort n’a pas convaincu. D’une part, « cette mise à jour modifie notamment le contenu des boutons de la première fenêtre "Gérer les paramètres de données" et "Tout accepter", qui s’intitulent respectivement désormais "Autres options" et "Autoriser tous les cookies" »
D’autre part, « dans la seconde fenêtre l’ancien bouton unique "Autoriser les cookies" s’intitule désormais "Autoriser uniquement les cookies essentiels" et qu’à côté la société y a introduit un second bouton intitulé "Autoriser tous les cookies" ».
Or, la mise à jour en question ne concerne que les utilisateurs connectés sur Facebook. De plus, elle « ne met toujours pas en place des moyens permettant de refuser les cookies aussi facilement qu’ils peuvent les accepter ». Raté.
Au final, la CNIL inflige 60 millions d’euros, avec là encore une astreinte de 100 000 euros par jour de retard à l’issue d’un délai de trois mois. Soit le témoignage du degré de confiance accordé par la CNIL à ces entreprises.
Au passage, la délibération a relevé que le manquement était d’autant plus dommageable que « parallèlement à sa fonction traditionnelle de maintien et de développement des relations interpersonnelles, ce réseau social prend également une place croissante dans des domaines aussi divers que l’accès à l’information, le débat public, voire la sécurité civile via la fonctionnalité "contrôle d'absence de danger Facebook" (ou "safety check") ».
De plus, le traçage des personnes concernées « ne s’arrête pas aux frontières du réseau social » :
« Facebook met à la disposition de très nombreux sites tiers un ensemble d’outils de traçage – tels que des plugins sociaux, des boutons de connexion ou le pixel Facebook – qui vont continuer à collecter les données des utilisateurs visitant ces sites tiers pour les croiser avec les données déjà collectées dans le cadre du réseau social et ce afin d’augmenter la valorisation de ces données. Une étude de 2019 ayant révélé la présence de ces outils de traçage Facebook sur 44% des 65 000 sites web les plus consultés au monde, la portée indirecte du traitement est donc considérable. »
Google comme Facebook peuvent désormais attaquer cette décision devant le Conseil d’État, pour espérer sa réformation voire son annulation. On relèvera in fine que la CNIL n’a pas demandé l’effacement des millions de cookies glanés par ces interfaces trompeuses ou déséquilibrées.
