Cookies : la CNIL croque Meta et Google

En guise de cadeau de fin d’année, la CNIL a, le 31 décembre dernier, sanctionné Facebook et Google à des amendes respectives de 60 et 150 millions d’euros pour des manquements à la réglementation cookies.

Le contrôle du respect des règles applicables aux cookies et autres traceurs, faisait partie des actions prioritaires de la CNIL en 2021, avec la cybersécurité et la sécurité des données de santé. L’autorité nationale avait donc sûrement à cœur de clore ce dossier avant la fin de l’année.

Ces décisions sont l’occasion de rappeler la réglementation applicable aux cookies et autres traceurs, que nous mentionnerons sous la dénomination commune « cookies ».

  1. Quelle réglementation pour les cookies ?

Les cookies sont réglementés conformément à la Directive UE 2002/58 du 12 juillet 2002 (Directive E-Privacy). Comme toute directive, elle a fait l’objet d’une transposition en droit français, au sein de l’article 82 de la loi Informatique et Libertés.

Cette réglementation est intimement liée à celle sur le traitement des données à caractère personnel, et donc du RGPD qui, dans son considérant 173, fait une référence expresse à la Directive E-Privacy. En d’autres termes, un cookie ou traceur doit être considéré comme une donnée à caractère personnel lorsqu’il permet d’identifier directement ou indirectement une personne physique.

La CNIL a précisé l’interprétation de cette réglementation au sein :

Ainsi, la réglementation sur les cookies et autres traceurs est constituée par l’interprétation croisée des textes suivants :

En vertu de cette réglementation, le consentement préalable de l’utilisateur est nécessaire avant de déposer un cookie, sauf concernant :

  • Les cookies techniques nécessaires à la navigation ;
  • Les cookies de mesure d’audience, sous réserve de respecter des critères précis.

Le consentement doit être recueilli conformément à l’article 4 du RGPD, et constituer une manifestation de volonté « libre, spécifique, éclairée et univoque ».

Plus précisément, s’agissant de la liberté du consentement, la Recommandation de la CNIL (para.30) indique :

« Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité. »

Concrètement, lorsqu’une personne accède à un site Internet, trois choix doivent s’offrir à elle :

  • Accepter l’ensemble des cookies soumis au consentement ;
  • Refuser l’ensemble des cookies soumis au consentement ;
  • Accéder à une fonctionnalité de paramétrage afin de ne consentir au dépôt que des cookies qu’elle choisira.

Elément fondamental pour notre affaire : l’acceptation de l’ensemble des cookies doit être aussi simple que le refus de tous les cookies.

Ainsi, si la possibilité est offerte de tout accepter par un bouton « tout accepter », il est nécessaire de prévoir un bouton « tout refuser » en miroir.

  • Que reproche la CNIL à Google et Facebook ?

Par suite de la réception de plusieurs plaintes, la CNIL a effectué un contrôle en ligne afin de vérifier le mécanisme d’acceptation, et surtout de refus, des cookies.

La CNIL a constaté que Facebook, comme Google, permet aux utilisateurs d’accepter facilement et immédiatement l’ensemble des cookies, grâce à une unique action.

En revanche, le refus du dépôt des cookies n’est pas aussi simple :

  • Google : cinq actions sont nécessaires pour refuser le dépôt de cookies ;
  • Facebook : trois actions sont ici nécessaires.

Il est aisé de constater la dissymétrie dans l’acceptation et le refus, et donc la non-conformité.

Mais la CNIL ne se contente pas de ce constat, elle en identifie la justification économique !

En effet, elle commence par citer deux études :

  • « selon le " baromètre Privacy – édition 2021 " publié par la société COMMANDERS ACT, le taux de consentement sur ordinateur est passé de 70% à 55% en avril-mai 2021, depuis que la collecte du consentement est explicite. »
  • « selon une étude 366-Kantar, il apparaît que 41% des internautes en France ont refusé, systématiquement ou partiellement, le dépôt de cookies en juin 2021. »

Sans surprise, le fait de permettre le refus du dépôt de cookies aussi facilement que leur acceptation entraîne donc une diminution de leur dépôt.

La CNIL déduit ensuite la justification des barrières au refus mises en place par Google et Facebook :

« le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton " Tout accepter ". En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur " Personnaliser " et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. »

La CNIL considère ainsi que Google et Facebook ont usé de manœuvres visant à décourager les utilisateurs et à accepter leurs cookies.

Ces procédés portent donc atteinte à la liberté du consentement des internautes.

  • Quels enseignements ?

Les sites Internet permettant le dépôt de cookies et autres traceurs doivent être particulièrement vigilants sur le type de bandeau utilisé ainsi que sur le respect des choix des internautes.

Ceci est d’autant plus important que :

  • La CNIL dispose de moyens simples et efficaces de vérifier la conformité des sites, grâce à ses contrôles en ligne ;
  • Le traitement de données issues des cookies publicitaires s’analyse en une responsabilité conjointe entre l’éditeur du site et le prestataire (i.e. Google, Facebook et consorts). L’éditeur pourrait ainsi voir sa responsabilité engagée conjointement.

Ces décisions permettent aussi de se poser la question de la conformité des cookies walls à la réglementation. Ces procédés obligent l’internaute à donner son consentement (faute de quoi il doit payer) afin d’accéder à un site Internet.

Si le Conseil d’Etat a annulé les lignes directrices par lesquelles la CNIL interdisait expressément cette pratique, il n’a pas pour autant jugé qu’elle était légale.

Dans la dernière version des lignes directrices, adoptées par suite de la décision du Conseil d’Etat, la CNIL prend une position plus réservée en se contentant d’indiquer que la pratique du cookie wall « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. »

Une décision de la CNIL à ce titre est très attendue par les acteurs du marché.

La conformité d’un site Internet peut être vérifiée par l’intermédiaire d’un audit flash accompagné d’un plan d’actions de remédiation avec pour objectif de pouvoir bénéficier de tous les bienfaits des cookies et autres traceurs (analyses de trafic, optimisation, revenus publicitaires…) en toute conformité.

Le Pôle Contrats informatiques, Données et Conformité accompagne les éditeurs de sites Internet et les sociétés éditant des traceurs afin de leur permettre d’optimiser leurs activités dans le respect de la réglementation.

Pour toute question, n’hésitez pas à nous contacter.