Cookies : TikTok demandait un rappel à l’ordre, la CNIL sanctionne de 5 millions d’euros

TikTok Irlande et TikTok UK ont reçu chacune une amende de 2,5 millions d'euros pour un manque d'information sur les cookies utilisés sur le site web du service et l'asymétrie de présentation entre la possibilité de les accepter et celle de les refuser. Cette sanction de la CNIL s'ajoute aux différents déboires actuels du réseau social en Europe.

Alors que le directeur général de la multinationale, Shou Zi Chew, est venu à Bruxelles en début de semaine pour calmer les inquiétudes européennes, la CNIL vient d'infliger à TikTok sa plus grosse amende en Europe.

• TikTok s’efforce de calmer les inquiétudes de la Commission européenne

La délibération [PDF] prise le 29 décembre dernier a été rendue publique jeudi. Celle-ci détaille les différents contrôles de la CNIL qui ont abouti à cette décision. La sanction n'est pas aussi élevée qu'elle aurait pu – la CNIL aurait pu aller jusqu'à 10 millions d'euros ou 2%  du chiffre d’affaires annuel mondial total –, mais elle marque néanmoins un premier sérieux avertissement pour le réseau social le plus populaire chez les jeunes actuellement.

Elle n'est pourtant pas de la même hauteur que celles infligées récemment à Microsoft, Google et Facebook. L'autorité administrative rappelle à la fin de sa délibération que sa décision peut faire l’objet d’un recours devant le Conseil d’État jusqu'à fin avril.

Refus complexe de cookies « non essentiels »

La sanction de TikTok s'explique, notamment, car la CNIL a constaté que le bandeau relatif aux cookies de son site internet ne proposait pas « facilement et en un seul clic » à l'internaute une manière de refuser le dépôt de cookies non essentiels. La CNIL a compté qu'il fallait effectuer au moins trois actions  (un premier clic sur « Gérer les paramètres », puis un clic sur « Ouvrir les paramètres de cookies » et un clic sur « Enregistrer ») pour le faire.

Ce n'est que le 28 février 2022 que TikTok a ajouté un bouton « Tout refuser » à son bandeau... ainsi qu'un message mal rédigé « Tu peux gestion des cookies à tout moment » qui a depuis été corrigé le 15 juillet 2022 suite à un nouveau contrôle de la CNIL.

TikTok a expliqué à l'autorité que son site « ne se basait pas sur un consentement implicite de ses utilisateurs pour l’utilisation de cookies non essentiels et qu’aucun cookie non essentiel n’était placé sur le terminal des utilisateurs avant qu’ils ne cliquent sur le bouton « Tout accepter » ». Mais la CNIL relève que cette information n'était pas donnée dans le bandeau relatif aux cookies et que le silence de l'utilisateur ne pouvait valoir de refus que s'il en était pleinement informé.

La CNIL considère que l'utilisateur « n’avait pas la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter » ce qui contrevient, selon elle, au considérant 42 du RGPD qui prévoit que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Trois cookies imposés par le site sans information préalable

Suite à ces contrôles, la CNIL a aussi constaté que le site web de TikTok déposait plusieurs cookies parmi lesquels ceux nommés « tt_webid », « tt_webid_v2 » et « ttwid ». Ils étaient présents dès l'arrivée sur le site, après navigation sans acceptation des cookies, après refus explicite des cookies et après retrait du consentement.

TikTok a expliqué à l'autorité qu'elle utilisait ces cookies à des fins de  « sécurité et détection des fraudes (c'est-à-dire, identification des bots) », de « plafonnement de la fréquence de visionnage des vidéos les plus populaires sur la plateforme », de tests permettant de comparer deux versions d’une même page et d'anti-spam.

Cette dernière fonctionnalité a d'ailleurs fait l'objet d'une discussion entre l'entreprise et l'autorité puisque TikTok avait d'abord parlé de  « plafonnement de la fréquence des publicités diffusées sur la plateforme ». La CNIL a donc réagi en classant ces cookies comme de la gestion de publicité comportementale, mais TikTok s'est corrigé, arguant « d’une erreur involontaire commise lors de la rédaction de la réponse, en raison d’une mauvaise communication interne ». Elle a finalement expliqué à l'autorité que cette fonctionnalité relevait plutôt de la lutte contre le spam.

La CNIL a, « en l’absence de doctrine stabilisée en l’état » sur certaines de ces fonctionnalités, préféré ne pas retenir de manquement en lien avec la nécessité de recueillir un consentement.

Contestations de TikTok

Si, selon la CNIL elle-même, l'entreprise a collaboré pendant les différents contrôles, TikTok a contesté devant l'autorité le montant des amendes les qualifiant de « disproportionnées et injustifiées au regard des circonstances de l’affaire et de la nature des manquements reprochés ». L'entreprise a même osé expliquer qu'un rappel à l’ordre suffirait.

L'entreprise a aussi plaidé pour que cette décision ne soit pas rendue publique. L'autorité en a décidé autrement « au regard de la gravité des manquements en cause, de la portée du traitement et du nombre de personnes concernées ». La CNIL insiste dans sa délibération sur le fait que 38 % des utilisateurs de TikTok ont entre 13 et 17 ans. Comme c’est très souvent le cas, cette délibération n’identifiera plus nommément les différentes sociétés du groupe à l’expiration d’un délai de deux ans à compter de sa publication.

Cette première décision est peut-être le début d'une longue liste de récrimination contre TikTok en Europe. En novembre dernier, Ursula von der Leyen a confirmé que plusieurs procédures visaient à s'assurer que TikTok respectait bien le RGPD.