La Cnil a invoqué la directive « ePrivacy » et non le RGPD. Et si Amazon et Google n’avaient pas modifié en septembre 2020 leur site web (amazon.fr et google.fr) pour être en conformité – mais partiellement – avec les règles françaises sur les cookies, leurs amendes auraient été plus salées.

Par Mélanie Erber, avocate associée, et Sacha Bettach, avocate, cabinet Coblence

Le 7 décembre 2020, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé deux sanctions inédites en Europe à l’encontre d’Amazon (1) et de Google (2), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français des données personnelles reproche aux deux géants d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Ces sanctions s’inscrivent dans le cadre d’un durcissement national des règles en matière de cookies et dans une volonté européenne plus globale de réguler le monde du numérique.

Ce que la Cnil reproche à Amazon et Google
Après plusieurs contrôles en ligne de la Cnil sur les sites Internet amazon.fr et google.fr, la Cnil a constaté que des cookies – poursuivant essentiellement un objectif publicitaire – étaient automatiquement déposés sur l’ordinateur de l’utilisateur, sans action de sa part. Ce faisant, Amazon et Google ont violé l’article 82 de la loi « Informatique et libertés », qui impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur.
Pour rappel, les cookies sont des fichiers informatiques stockés sur un serveur et présents dans l’ordinateur de l’internaute. A l’aide de ceux-ci, les éditeurs de sites Internet peuvent collecter les données de navigation des internautes voire recueillir un ensemble d’informations telles que les paniers d’achat, les comportements des consommateurs, la publicité ciblée, etc. Selon la Cnil, les techniques de dépôt de cookies d’Amazon et Google ne permettraient pas d’assurer le respect du droit à l’information, le recueil préalable du consentement et du droit à l’opposition des utilisateurs. Plus précisément, concernant amazon.fr, le gendarme français des données personnelles a considéré que les informations fournies n’étaient ni claires ni complètes, en ce que le bandeau d’information affiché en visitant le site web ne contenait qu’une inscription générale, ne permettant pas à l’utilisateur de comprendre que les cookies qui allaient être déposés sur son ordinateur avaient pour finalité de lui afficher des publicités personnalisées. Ledit bandeau n’indiquait pas non plus le droit et les moyens pour l’utilisateur de s’opposer au dépôt de ces cookies. Enfin, dans certaines situations telles que notamment après avoir cliqué sur une publicité d’un autre site Internet, aucune information n’était délivrée aux utilisateurs, alors pourtant que les mêmes cookies étaient déposés.
Le montant de la sanction retenue contre Amazon tient par conséquent compte de tous ces éléments. La notoriété et la place dans le commerce en ligne d’Amazon ont été des facteurs aggravants de la sanction, puisque la personnalisation des annonces rendue possible en grande partie grâce au dépôt de cookies permet d’augmenter considérablement la visibilité des produits d’Amazon sur d’autres sites Internet. Il est à noter au demeurant que la gravité des faits a été légèrement atténuée par la refonte du site amazon.fr en septembre 2020, à la suite de laquelle la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement. Néanmoins, le bandeau d’information reste imprécis quant au dépôt de cookies et au droit d’opposition à ce dépôt. Concernant cette fois le site web google.fr, les faits sont globalement semblables. Le bandeau d’information qui s’affichait en bas de page à chaque visite d’un utilisateur sur le site Internet ne fournissait pas d’information relative aux cookies, pourtant déjà déposés sur l’ordinateur de l’internaute. En outre, si un utilisateur décidait de désactiver la personnalisation des annonces sur la recherche Google, un des cookies publicitaires demeurait stocké sur son ordinateur, ce qui ne permettait pas le respect du mécanisme d’opposition.

La notoriété est une circonstance aggravante
Google LLC, établie en Californie, a été condamnée au paiement d’une amende de 60 millions d’euros, et Google Ireland LTD, établie à Dublin, de 40 millions d’euros. Comme pour Amazon, la notoriété et la portée du moteur de recherche Google Search en France ont été des facteurs aggravants de la sanction, puisque la société tire des revenus publicitaires considérables indirectement générés à partir des données collectées par les cookies publicitaires. La refonte du site google.fr en septembre 2020 – en dépit du fait que la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement – n’a pas permis d’atténuer le triple manquement à la loi « Informatique et libertés » qui a été retenu, d’autant que le nouveau bandeau d’information ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

La Cnil a sanctionné sans passer par le RGPD
Il est intéressant de relever un point de droit habile de la part de la Cnil dans ses délibérations. En effet, l’autorité ne s’est pas fondée sur le règlement général des données personnelles (RGPD) – pourtant en vigueur au niveau européen depuis le 25 mai 2018 – mais sur la directive européenne « ePrivacy » (3), transposée à l’article 82 de la loi française « Informatique et libertés », laquelle a explicitement vocation à s’appliquer aux cookies. En effet, cette directive – ayant également servi de base légale à l’établissement des nouvelles lignes directrices (4) et recommandations (5) de la Cnil en matière de cookies – prévoit en son article 5.3 que : « Les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cet article, transposé dans des termes similaires en droit français dans la loi « Informatique et libertés », a permis à la Cnil d’éviter l’application du RGPD et de se cantonner à son droit interne.
L’intérêt est double : d’une part, l’éviction du RGPD permet une lecture plus simple des règles en matière de cookies, pour lesquelles un seul texte fait référence, à savoir la loi « Informatique et liberté ». D’autre part, l’exclusion du RGPD a permis au gendarme français des données personnelles de se considérer comme territorialement compétente pour contrôler et sanctionner les cookies déposés par Amazon et Google sur les ordinateurs des utilisateurs résidant en France. Si le RGPD avait été applicable, le principe de « guichet unique » aurait été mis en place. En pareil cas, l’autorité chef de file qui envisage de prendre une décision à l’égard de traitements transfrontaliers de données, à savoir à l’encontre d’une entreprise établie dans plusieurs Etats de l’Union européenne (UE), aurait dû se charger de coordonner la prise de décision avec les autres autorités concernées par le traitement. En d’autres termes, pour pouvoir sanctionner Amazon et Google, la Cnil aurait dû s’accorder avec tous les pays de l’UE dans lesquels les entreprises sont présentes, à savoir les Vingt-sept… Autant dire : mission impossible ! Au contraire, la Cnil a décidé de se fonder uniquement sur le droit national et sur l’article 3 de la loi « Informatique et libertés » pour juger que le dépôt de cookies a été effectué dans le cadre des activités d’Amazon France et de Google France, lesquelles sont constituées sur le territoire français. Ces sanctions, qui se veulent exemplaires (quoique relatives au regard du chiffre d’affaires de ces « GAFA »), s’expliquent par l’influence de ces sociétés sur les internautes, lesquels seraient plus 50 millions selon la Cnil à avoir été affectés par ces pratiques. Ces sanctions infligées par le gendarme français des données personnelles n’ont rien de surprenant en ce qu’elles s’inscrivent dans la droite lignée des directives prises depuis l’été 2019 relatives aux cookies, et mises à jour le 1er octobre 2020, aux termes desquelles la Cnil rappelle deux règles fondamentales visant à la protection des internautes. La première est l’information : avant une acceptation des cookies, le site internet doit informer de façon claire et synthétique la finalité poursuivie pour la collecte de ces cookies (publicité, réseaux sociaux, contenu ciblé etc.).
La seconde est un refus aussi simple qu’une acceptation : l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter. Par conséquent, si un seul clic est mis en place pour accepter les cookies, le même procédé aussi rapide doit être mis en place par les éditeurs pour pouvoir les refuser. Sur ce fondement, la Cnil dispose donc d’une série d’outils juridiques pour sanctionner les dépôts automatiques de cookies ou des comportements peu clairs des éditeurs en matière de recueil de consentement ou d’information. En complément de ces amendes administratives, la Cnil a également adopté une injonction sous astreinte à l’encontre d’Amazon et de Google, afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi « Informatique et libertés » dans un délai de trois mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront à partir de mars 2021 au paiement d’une astreinte de 100.000 euros par jour de retard. Amazon et Google ont ainsi trois mois pour mettre de nouveau à jour leur site internet et en particulier les bandeaux d’information d’accès aux différents sites.

A partir de fin mars 2021, la Cnil sévit
Gardons en mémoire qu’à la suite de la publication des lignes directrices de la Cnil et de ses recommandations le 1er octobre 2020, il a été laissé six mois – soit jusqu’à fin mars 2021 (6) – aux différents acteurs concernés, principalement les éditeurs ou hébergeurs de sites Internet, pour se conformer aux règles édictées, qui sont identiques à celles rappelées à Amazon et Google. Amazon et Google n’ont que trois mois – jusqu’à fin mars également – pour se mettre en conformité, sous peine d’une lourde astreinte en cas de défaut. Ainsi, à partir du printemps prochain, tous les éditeurs de sites Internet – gros ou petits – seront soumis en France aux mêmes règles et risques de sanction. @