Cookies et consentement : La CNIL frappe fort contre les sites qui ne respectent pas les règles !

PrintMailRate-it
Une décision de la CNIL du 19 décembre 2022 condamne Microsoft à une amende de 60 millions d'euros.


Les acteurs du Net n'en finissent pas d'être la cible préférée – et logique - des autorités françaises et européennes chargées de faire respecter la protection des données personnelles et de la vie privée.

Google, Amazon, Yahoo, Facebook, autant d'opérateurs-clé qui ont fait face à des sanctions de plusieurs dizaines ou centaines de millions d'euros, pour de multiplies non-conformité de leurs sites ou applications au RGPD et à la Directive e-Privacy, textes européens que l'on retrouve intégrés dans la « Loi Informatique & Libertés » française, constamment mise à jour ces dernières années au gré de ces nouvelles normes de protection de la vie privée.


Les sanctions sont à l'avenant de la force de frappe de ces opérateurs économiques et de leurs responsabilités sur l'Internet, à l'égard des internautes auxquels ils s'adressent.


Les géants du Web, généralement de culture juridique américaine ou chinoise, ont du mal à s'adapter à un marché proposant, dans un équilibre différent, de protéger en priorité la vie privée plutôt que le développement économique.


Dernier exemple en date pour ces acteurs du Net, le 19 décembre dernier, la CNIL a condamné Microsoft (Microsoft Ireland Operations Limited…) a une amende de 60 millions d'euros, sur un sujet particulièrement intéressant : le consentement aux cookies.


Les cookies, ces petites briques d'informations qui sont déposées sur votre ordinateur par le site que l'on visite, le moteur de recherche que l'on utilise, le navigateur qui nous sert à surfer, ou encore l'annonceur qui nous propose ses produits via une publicité ciblée. D'aucuns sont des informations non personnelles (techniques, administratives, statistiques…), utiles voire indispensables au bon fonctionnement de notre navigation sur le Net : ils ne requièrent généralement pas de consentement. D'autres sont personnels (cookies commerciaux ou publicitaires ciblés…) et visent notamment à proposer aux internautes des contenus ou liens personnalisés, grâce à leur profil de navigation : le consentement de ces derniers est alors requis, sauf exceptions.


Ces cookies font l'objet d'une réglementation au sein de la Loi Informatique & Libertés (article 82), provenant de la transposition de plusieurs directives relatives aux données personnelles dans le secteur des communications électroniques, dont la Directive e-Privacy, distinctes du RGPD. Ils sont aussi l'objet de directives de la CNIL, mises à jour en septembre 2020. Enfin, certaines règles sont également posés dans le code des postes et des communications électroniques. Qu'ils collectent des données non personnelles (techniques, statistiques…) ou personnelles, ils obéissent à des principes de transparence et, le cas échéant, de consentement, communs à la plupart des textes européens transposés dans la Loi Informatique et Libertés.

Depuis septembre 2020, aux termes des directives de la CNIL, le bandeau « cookies » obligatoire des sites Internet doit présenter une configuration plus détaillée et plus précise à l'ouverture d'un site Internet, afin de permettre à l'internaute (i) d'être avant tout correctement informé de la nature des cookies, obligatoires ou optionnels, qui sont déposés sur son ordinateur, afin de (ii) pouvoir sélectionner, parmi les optionnels, ceux qu'il souhaite autoriser ou non. Les principes guidant cette configuration sont clarté, neutralité et exhaustivité des informations préalable, afin de ne fausser ni la compréhension, ni, s'il est requis, le consentement de l'internaute, dont on rappellera qu'il doit être « libre et éclairé ».


Prenons un exemple : parmi les trois boutons habituellement visibles sur un bandeau cookies, « accepter », « refuser » ou « paramétrer/sélectionner vos cookies », si le bouton « accepter » est plus visible (plus gros, plus coloré, mieux mis en évidence…) que les autres, cela pourra être considéré comme une tentative de forcer le consentement de l'internaute. De même, si le paramétrage des cookies optionnels (requérant le consentement) ne permet pas d'en refuser certains, il s'agira d'une violation du RGPD.


En l'occurrence, les plaintes, émanant d'internautes, concernaient le moteur de recherche « bing.com » de Microsoft. La CNIL a fait divers contrôles sur ce site entre 2020 et 2021.


Il a été constaté que :

  • Certains cookies publicitaires étaient déposés sans recueillir le consentement préalable de l'internaute ;
  • L'internaute n'était pas ou pas correctement informé de ces dépôts particuliers ;
  • Il n'y avait pas de bouton permettant de refuser le dépôt de cookies aussi facilement que de les accepter. En l'occurrence, le refus nécessitait plusieurs clics, comme pour s'assurer de la volonté de refuser, tandis que l'acceptation était facilitée en un seul clic. Ici encore, une configuration du bandeau qui tendait à forcer implicitement le consentement au lieu de mettre les trois options au même niveau.

Dans ses échanges avec la CNIL, Microsoft a fait état du fait que les cookies en cause étaient « multi-fonctionnels » et que l'essentiel de leurs fonctionnalités relevaient des deux exceptions au régime obligatoire du consentement préalable de l'internaute, telles que prévues à l'article 82 de la Loi :

  • Le fait d'avoir pour finalité exclusive de permettre ou faciliter la communication électronique ;
  • Le fait d'être strictement nécessaires à la fourniture d'un service de communication en ligne à la demande de l'utilisation.

Microsoft estimait que les finalités poursuivies par ces cookies, essentielles ou non, constituaient un « tout indissociable », qui ne permettait pas d'isoler les fonctionnalités non-essentielles pour lesquelles, prises isolément, un consentement aurait peut-être été nécessaire. Elles relèveraient donc de ces exceptions au consentement.


La CNIL, rejetant l'idée d'indissociabilité pour l'appréciation des règles de consentement, s'est intéressée aux diverses finalités poursuivies par ces cookies multi-fonctionnels.


Relevant qu'au moins l'une des finalités poursuivies relevait de la publicité contextuelle, consistant à proposer des contenus publicitaires en fonction du contexte dans lequel l'internaute navigue, elle a caractérisé un manquement à l'article 82 de la Loi Informatique & Liberté, cette finalité ne relevant nullement des deux exceptions au consentement.


La CNIL a également caractérisé d'autres cookies de nature publicitaire, déposés par erreur sur le terminal de l'utilisateur sans son consentement, cette erreur basique constituant, de la part d'un acteur tel que Microsoft, une négligence inexcusable.


Elle a enfin dénoncé le défaut d'information adéquate de l'utilisateur, ainsi que la configuration incitative du bandeau cookies, au sein duquel l'acceptation des cookies était facilitée, alors que leur refus était rendu plus compliqué, exigeant au moins deux clics.


On rappellera que les manquements au RGPD sont sanctionnés par des amendes qui peuvent atteindre jusqu'à 2 ou 4% du chiffre d'affaires mondial du responsable de traitement mis en cause (art. 82 RGPD).

En outre, le CEPD, l'autorité européenne chargée de coordonner l'application du RGPD par les autorités nationales, a publié, en mai 2022, des lignes directrices sur les modalités de calcul des amendes administratives adoptées par lesdites autorités nationales. Les amendes sont prononcées sur la base de trois critères principaux :

  • Le type d'infraction concerné ;
  • La gravité de l'infraction ;
  • Le chiffre d'affaires de l'entreprise.

Sur cette base, le calcul s'effectuerait, selon ces lignes directives, en cinq étapes :

  1. Détermination du nombre de cas de manquements et le nombre d'infractions
  2. Détermination du point de départ de l'infraction objet du calcul de l'amende
  3. Prise en compte des facteurs aggravants

    A titre d'exemple, pour des manquements liés à un site Internet, la responsabilité des opérateurs de l'Internet sera beaucoup plus forte que celle d'une société lambda exploitant un site e-commerce, et encore plus forte qu'une association proposant un site Internet vitrine. Et ce, ne serait-ce qu'au regard du nombre de personnes touchées.
  4. Détermination des plafonds légaux des amendes, tels que fixés par l'article 83 du RGPD
  5. Vérification que le montant d'amende envisagé correspond aux exigences d'efficacité, de dissuasion et de proportionnalité, afin d'appliquer d'éventuels ajustements.

A l'évidence, ce critère est beaucoup plus souple que les premiers et permet une réévaluation de chaque cas.


La sanction a été volontairement fixée avec sévérité et exemplarité, en tenant compte de ces éléments, et notamment de la nature même de l'entité concernée (un des acteurs majeurs de l'Internet), de la place de marché de « bing » principal concurrent de Google, du nombre de personnes touchées (près de 11 millions d'utilisateurs en France) et des bénéfices de Microsoft, tirés précisément de l'exploitation des données personnelles (ou non) des internautes. La CNIL a également rappelé que Microsoft avait disposé d'un certain délai, après un premier contrôle, pour se mettre en conformité, ce qu'elle n'avait pas entièrement.


Précisons, à titre accessoire et procédural, que la CNIL s'est estimée compétente territorialement pour connaître de ces faits. En effet, d'une part, le mécanisme du « guichet unique » du RGPD, qui aurait pu conduire à une compétence autre que française, ne s'applique pas, dès lors que la réglementation « cookies » relève principalement de la Directive « e-Privacy », elle aussi transposée dans la Loi Informatique et Libertés (art. 82) et dans le code des postes et communications électroniques. D'autre part, les cookies concernent des sites et activités exploitées, en France, par Microsoft France, établissement français du groupe Microsoft, dont le responsable de traitement, en Europe, pour le moteur « bing » est Microsoft Ireland.

*

En matière de cookies, clarté, neutralité et transparence sont la règle, tant au niveau de l'information préalable de l'internaute que du recueil de son consentement. Il est facile, rappelons-le, de se croire conforme…et de ne pas l'être en réalité.


Si votre bandeau cookies, que vous aurez déjà certainement mis à jour depuis les directives CNIL de l'été 2020, ne respectent pas ces grands principes, et ces illustrations, contactez-nous !

 

Frederic BOURGUET

Avocat associé

Responsable du département IP/IT/Data, Rödl & Partner Avocats, France.

CONTACT

Contact Person Picture

Frédéric Bourguet

Avocat

Associate Partner

+33 1 8621 9274
+33 6 4920 1564

Envoyer la demande

Deutschland Weltweit Search Menu