10 décembre 2020
Google et Amazon sanctionnés par la CNIL à hauteur de 100 et 35 millions d’euros.
Osmose vous explique en détail ces sanctions et vous rappelle vos principales obligations en matière d’utilisation de cookies.
Par deux délibérations du 7 décembre 2020, la CNIL a prononcé à l’encontre de Google une sanction globale de 100 millions d’euros1 et une sanction de 35 millions d’euros à l’encontre d’Amazon2 pour non-respect des règles relatives à l’utilisation de cookies. Ces sanctions sont assorties d’une injonction de mise en conformité dans un délai de trois mois sous astreinte de 100.000 euros par jour de retard.
Ces sanctions sont exemplaires à plusieurs titres :
D’une part, les sociétés étrangères (et notamment américaines) ne sauraient échapper au respect de la réglementation française (en l’espèce la loi Informatique et Libertés).
En effet, la CNIL s’est déclarée compétente en matière de cookies dès lors que l’utilisation de cookies par des entreprises étrangères est effectuée par un de leurs établissements situés en France (en l’occurrence, Google France pour le site www.google.fr et Amazon Online France pour le site www.amazon.fr).
D’autre part, les contrôles de la CNIL ne sont pas une fiction. Ils sont bien réels et donnent lieu à des sanctions particulièrement élevées. S’il n’existe pas de grille d’évaluation des sanctions, la CNIL prend toutefois en compte plusieurs critères, dont notamment la gravité du manquement, le nombre d’utilisateurs concernés par ce manquement, les avantages dont a bénéficié la société en ne respectant pas la réglementation et sa place sur le marché.
La principale conclusion à tirer de ces deux décisions est la suivante : il est fondamental que tous les acteurs utilisant des cookies (principalement ceux exploitant un site internet, une application mobile ou commercialisant une télévision ou console connectée) se mettent en conformité avec la réglementation applicable en matière de cookies.
En l’occurrence, les manquements reprochés sont les suivants :
- Utilisation de cookies en l’absence du consentement des internautes
La loi impose le recueil du consentement des internautes avant l’utilisation de cookies. Les seuls cookies exemptés de cette obligation sont les cookies de fonctionnalité (ex : les cookies permettant de sauvegarder la préférence ou les cookies permettant de sauvegarder l’opposition de l’utilisateur au dépôt des cookies).
Pour être valable le consentement doit être exprès, c’est-à-dire qu’il doit résulter d’une action positive de l’internaute (ex : cliquer sur un bouton). La simple poursuite de la navigation ou la fermeture de la fenêtre pop-up s’affichant pour recueillir le consentement ne vaut pas consentement.
Le consentement doit également être éclairé, c’est-à-dire qu’un certain nombre d’informations doit être communiqué à l’internaute.
- Défaut d’information des internautes
L’information doit être communiquée avant le recueil du consentement.
Elle doit être claire (ex : ne pas utiliser des formules compliquées) et facilement accessible (ex : ne pas être noyée parmi d’autres informations ou être accessible au moyen de nombreux renvois hypertextes).
Elle doit également être complète : doivent être indiqués (i) l’utilisation de cookies, (ii) la finalité spécifique de chacun des cookies utilisés, (iii) la possibilité de s’opposer à chacun de ces cookies et (iv) les moyens d’exercer ce droit d’opposition.
- Dysfonctionnement du mécanisme d’opposition
Le droit d’opposition à l’utilisation de cookies ne doit pas être théorique. Les sociétés doivent s’assurer que le mécanisme d’exercice de ce droit qu’elles ont mis en place fonctionne effectivement. En d’autres termes, aucun cookie pour lequel l’opposition a été émise ne doit être déposé et utilisé.
Dans l’attente du règlement e-Privacy, la réglementation actuellement applicable en matière de cookies est la loi Informatique et Libertés (cf article 82) complétée par la doctrine de la CNIL3 et de l’EDPB.
Références :
1 Délibération de la CNIL à l’encontre de Google du 7 décembre 2020 : https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-google-llc-et-de-40-millions-deuros-lencontre-de
2 Délibération de la CNIL à l’encontre d’Amazon du 7 décembre 2020 : https://www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core
3 Lignes directrices de la CNIL du 17 septembre 2020 en matière de cookies https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation