Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Digital Services Act (DSA) et Digital Markets Act (DMA) : l’Europe vise une régulation équilibrée du Net

Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.

Par Laura Ziegler, Sandra Tubert et Marion Moine, avocates, BCTG Avocats

La digitalisation croissante de la société et de son économie a fait naître de nouvelles problématiques sociétales et juridiques que l’arsenal législatif jusqu’alors disponible – en particulier la directive européenne « E-commerce » adoptée il y a plus de vingt ans (1) et transposée en 2004 pour ce qui concerne la France (2) – ne parvient plus à réguler efficacement. Les exemples d’actualité sont nombreux : des contenus illicites ou préjudiciables postés sur les réseaux sociaux, à l’opacité des algorithmes aux conséquences néfastes, … Bien qu’ayant pour ambition commune de réguler le monde digital, le DSA et le DMA poursuivent chacun un objectif distinct.

L’ombre de la directive « E-commerce »
Le projet de DSA. Ce règlement a vocation à remplacer les dispositions relatives à la responsabilité des prestataires de services intermédiaires contenues dans la directive « Ecommerce » (3), et à abandonner la distinction actuelle et quelque peu dépassée entre éditeur et hébergeur. Il vise à établir des règles harmonisées concernant la fourniture de « services intermédiaires », notion qui s’interprète toujours largement et englobe à la fois le transport (4) et la transmission (5) d’informations sur un réseau de communication, la fourniture d’un accès au réseau de communication, ainsi que l’hébergement de données.
En pratique, seront donc concernés : fournisseurs d’accès Internet, bureaux d’enregistrement de noms de domaine (registrars), hébergeurs « cloud » et web, marketplaces, boutiques d’applications (app stores), réseaux sociaux et autres plateformes agissant en qualité d’intermédiaires (plateforme d’économie collaborative, etc.). Plus particulièrement, le DSA aspire à établir un cadre de responsabilité pour les prestataires de services intermédiaires, et à leur imposer des diligences raisonnables qui diffèrent selon la catégorie dont ils relèvent (6) et qui sont au nombre de quatre : services intermédiaires offrant une infrastructure réseau, services d’hébergement, plateformes en ligne réunissant vendeurs et consommateurs et très grandes plateformes. Ces règles trouveront à s’appliquer aux prestataires qui fournissent des services à des destinataires (7) ayant leur lieu d’établissement ou leur résidence dans l’Union européenne (8). Le lieu d’établissement des prestataires est donc sans incidence, dès lors qu’ils présentent un « lien substantiel » avec le territoire européen (9). Evidemment, tous ces prestataires de services intermédiaires ne se verront pas appliquer les mêmes régimes.
S’agissant tout d’abord de leur responsabilité, aucun bouleversement annoncé. En effet, les projets d’articles 3 et 4 du DSA – concernant les services dits de « mere conduit » et de « caching » – reprennent quasiment à l’identique les dispositions des articles 12 et 13 de la directive « Ecommerce » de 2000 : ils ne sont pas responsables des informations qu’ils transportent et/ou transmettent dès lors qu’ils n’ont, en substance, pas une connaissance effective de l’activité ou du contenu illégal ou à défaut, dès lors qu’ils ont agi promptement pour retirer le contenu en cause.
Pas de grand changement non plus pour les hébergeurs qui bénéficieront toujours du régime de responsabilité atténuée. La seule nouveauté relative figure sous son article 5.3. : le régime de responsabilité atténuée ne sera pas applicable si un consommateur concluant un contrat à distance avec des professionnels via une plateforme en ligne est conduit à croire que l’information, le produit ou le service faisant l’objet de la transaction est fournie par cette dernière directement, ou par un destinataire du service agissant sur son autorité ou son contrôle. L’avenir nous dira si ces nouvelles dispositions conduiront les juridictions à adopter une approche plus stricte que celle de l’actuelle jurisprudence basée sur l’interprétation du « rôle actif » des intermédiaires. En revanche, le DSA n’envisage pas d’imposer aux prestataires de services intermédiaires (10) une obligation générale de surveillance (11). Ils y seront cependant encouragés puisque les enquêtes d’initiative volontaires « visant à détecter, identifier, supprimer ou désactiver l’accès à un contenu illégal, (…) » ne leur feront pas perdre le bénéfice de l’exemption de responsabilité (12).

Transparence accrue des intermédiaires
S’agissant ensuite des diligences et obligations qui seront mises à la charge de ces acteurs, certaines seront spécifiques à la catégorie à laquelle ils appartiennent, d’autres seront communes. On relèvera parmi ces dernières, la création d’un « point de contact » permettant une communication directe par voie électronique et l’intégration, dans leurs conditions générales, d’informations rédigées dans un langage clair et sans ambiguïté, sur les politiques, procédures, mesures et outils utilisés à des fins de modération du contenu, y compris sur les algorithmes utilisés pour prendre des décisions. Toujours dans un objectif de transparence accrue, les intermédiaires devront également publier des rapports annuels sur leur activité de modération de contenus. Cette exigence ne devrait pas s’appliquer aux petites et micros entreprises mais devrait être renforcée pour les plateformes en ligne et très grandes plateformes.

Statuts d’hébergeur et contenus illégaux
Concernant plus spécifiquement les services d’hébergement, ceux-ci devront mettre en place des mécanismes d’accès faciles et conviviaux permettant à toute personne de les informer de l’existence de contenus illégaux. Toute décision de suppression ou de désactivation d’un accès à des informations devra en outre faire l’objet d’une information motivée par l’intermédiaire à l’utilisateur concerné (13). Les plateformes en ligne devront en outre créer un système gratuit de traitement des réclamations par voie électronique au sujet des décisions qu’elles sont susceptibles de prendre (modération, suspension, suppression ou résiliation d’un service ou d’un compte utilisateur). Elles auront d’ailleurs, dans ce cadre, l’obligation de suspendre pendant un délai raisonnable, après avertissement, les comptes utilisateurs à partir desquels des abus seront commis (publication de contenus manifestement illicites, et notifications et/ou plaintes manifestement infondées).
Les plateformes mettant en relation commerçants et professionnels devront enfin, procéder à des vérifications élémentaires de l’identité et des coordonnées de ces derniers. Les très grandes plateformes en ligne (14) devront quant à elles procéder, au moins une fois par an, aux études et audits nécessaires pour leur permettre notamment d’identifier les risques systémiques significatifs résultant du fonctionnement et de l’utilisation de leurs services (15). Elles devront également désigner un ou plusieurs responsables de la conformité qui seront chargés de contrôler le respect du règlement DSA. A l’image des « Data Protection Officer » (DPO), ceux-ci devront notamment, faire l’objet d’une désignation officielle auprès des organismes compétents et pouvoir s’acquitter de leurs tâches de manière indépendante. Enfin, les très grandes plateformes pourront être contraintes de fournir un accès à leurs données, en particulier à des chercheurs agréés (16).
Le projet de DMA. Ce règlement-ci ne s’appliquera qu’aux « gatekeepers » ou « contrôleurs d’accès » qui fournissent à des utilisateurs, professionnels ou non, situés dans l’Union européenne (17), des services en ligne essentiels (18). Un prestataire de services essentiels sera présumé être un gatekeeper si celui-ci répond aux trois critères cumulatifs suivants : avoir un impact significatif sur le marché intérieur (en fonction de seuils de chiffre d’affaires et de la valorisation de l’entreprise) ; exploiter un service de « plateforme essentiel » qui sert de passerelle majeure pour les utilisateurs professionnels pour atteindre les consommateurs finaux ; bénéficier d’une position enracinée et durable ou être en voie de bénéficier d’une telle position dans un proche avenir. Le contrôle de l’atteinte de ces seuils quantitatifs incombera tout d’abord aux prestataires de services qui en informeront la Commission européenne. Les gatekeepers fraichement nommés disposeront d’un délai de six mois pour se conformer aux obligations du règlement. Ces désignations pourront bien sûr être reconsidérées, modifiées ou abrogées par la Commission à la lumière de l’évolution des éléments de contexte.
S’agissant de l’étendue de ses obligations, un gatekeeper ayant une position enracinée et durable se verra imposer davantage d’obligations que ceux en voie d’en bénéficier. Dans ce contexte, le règlement introduit plus de quinze obligations et interdictions, parmi lesquelles l’interdiction des pratiques visant à empêcher leurs utilisateurs professionnels de proposer leurs produits et services aux utilisateurs finaux par le biais de services concurrents tiers à des prix ou à des conditions différents (20), ou à traiter plus favorablement, dans le classement, les produits et services qui sont proposés par le contrôleur d’accès lui-même (21), ou encore l’obligation, dans certaines hypothèses, de permettre aux consommateurs de désinstaller les applications logicielles préinstallées ou de fournir aux entreprises qui font de la publicité sur leur plateforme les outils et les informations nécessaires pour effectuer leur propre vérification des annonces publicitaires hébergées par le contrôleur d’accès. Certaines dispositions concerneront par ailleurs, les traitements de données à caractère personnel en imposant des conditions supplémentaires à celles figurant dans le RGPD (22), ou en interdisant purement et simplement certaines pratiques (23). L’interopérabilité est également au coeur des préoccupations puisque le DMA imposera désormais aux contrôleurs d’accès de mettre en place de manière proactive certaines mesures, telles que des mesures ciblées permettant aux logiciels de fournisseurs tiers de fonctionner et d’interagir correctement avec leurs propres services (24). Dans cette même dynamique, les consommateurs devront pouvoir changer d’applications logicielles et de services sans restriction technique (25).

Des sanctions et des astreintes dissuasives
Pour s’assurer de l’effectivité de cette nouvelle régulation, la Commission européenne a mis en place un véritable arsenal puisque tout manquement aux obligations prévues par les DMA et DSA, pourra être sanctionné par une amende pouvant aller jusqu’à 10 % (DMA) et/ou 6% (DSA) du chiffre d’affaires total de l’intermédiaire concerné au cours de l’exercice précédent. Des astreintes pouvant aller jusqu’à 5 % du chiffre d’affaires journalier moyen à compter de sa décision pourront également être prononcées. @

Comment la Cnil a contourné le RGPD pour pouvoir elle-même mettre à l’amende Amazon et Google

La Cnil a invoqué la directive « ePrivacy » et non le RGPD. Et si Amazon et Google n’avaient pas modifié en septembre 2020 leur site web (amazon.fr et google.fr) pour être en conformité – mais partiellement – avec les règles françaises sur les cookies, leurs amendes auraient été plus salées.

Par Mélanie Erber, avocate associée, et Sacha Bettach, avocate, cabinet Coblence

Le 7 décembre 2020, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé deux sanctions inédites en Europe à l’encontre d’Amazon (1) et de Google (2), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français des données personnelles reproche aux deux géants d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Ces sanctions s’inscrivent dans le cadre d’un durcissement national des règles en matière de cookies et dans une volonté européenne plus globale de réguler le monde du numérique.

Ce que la Cnil reproche à Amazon et Google
Après plusieurs contrôles en ligne de la Cnil sur les sites Internet amazon.fr et google.fr, la Cnil a constaté que des cookies – poursuivant essentiellement un objectif publicitaire – étaient automatiquement déposés sur l’ordinateur de l’utilisateur, sans action de sa part. Ce faisant, Amazon et Google ont violé l’article 82 de la loi « Informatique et libertés », qui impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur.
Pour rappel, les cookies sont des fichiers informatiques stockés sur un serveur et présents dans l’ordinateur de l’internaute. A l’aide de ceux-ci, les éditeurs de sites Internet peuvent collecter les données de navigation des internautes voire recueillir un ensemble d’informations telles que les paniers d’achat, les comportements des consommateurs, la publicité ciblée, etc. Selon la Cnil, les techniques de dépôt de cookies d’Amazon et Google ne permettraient pas d’assurer le respect du droit à l’information, le recueil préalable du consentement et du droit à l’opposition des utilisateurs. Plus précisément, concernant amazon.fr, le gendarme français des données personnelles a considéré que les informations fournies n’étaient ni claires ni complètes, en ce que le bandeau d’information affiché en visitant le site web ne contenait qu’une inscription générale, ne permettant pas à l’utilisateur de comprendre que les cookies qui allaient être déposés sur son ordinateur avaient pour finalité de lui afficher des publicités personnalisées. Ledit bandeau n’indiquait pas non plus le droit et les moyens pour l’utilisateur de s’opposer au dépôt de ces cookies. Enfin, dans certaines situations telles que notamment après avoir cliqué sur une publicité d’un autre site Internet, aucune information n’était délivrée aux utilisateurs, alors pourtant que les mêmes cookies étaient déposés.
Le montant de la sanction retenue contre Amazon tient par conséquent compte de tous ces éléments. La notoriété et la place dans le commerce en ligne d’Amazon ont été des facteurs aggravants de la sanction, puisque la personnalisation des annonces rendue possible en grande partie grâce au dépôt de cookies permet d’augmenter considérablement la visibilité des produits d’Amazon sur d’autres sites Internet. Il est à noter au demeurant que la gravité des faits a été légèrement atténuée par la refonte du site amazon.fr en septembre 2020, à la suite de laquelle la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement. Néanmoins, le bandeau d’information reste imprécis quant au dépôt de cookies et au droit d’opposition à ce dépôt. Concernant cette fois le site web google.fr, les faits sont globalement semblables. Le bandeau d’information qui s’affichait en bas de page à chaque visite d’un utilisateur sur le site Internet ne fournissait pas d’information relative aux cookies, pourtant déjà déposés sur l’ordinateur de l’internaute. En outre, si un utilisateur décidait de désactiver la personnalisation des annonces sur la recherche Google, un des cookies publicitaires demeurait stocké sur son ordinateur, ce qui ne permettait pas le respect du mécanisme d’opposition.

La notoriété est une circonstance aggravante
Google LLC, établie en Californie, a été condamnée au paiement d’une amende de 60 millions d’euros, et Google Ireland LTD, établie à Dublin, de 40 millions d’euros. Comme pour Amazon, la notoriété et la portée du moteur de recherche Google Search en France ont été des facteurs aggravants de la sanction, puisque la société tire des revenus publicitaires considérables indirectement générés à partir des données collectées par les cookies publicitaires. La refonte du site google.fr en septembre 2020 – en dépit du fait que la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement – n’a pas permis d’atténuer le triple manquement à la loi « Informatique et libertés » qui a été retenu, d’autant que le nouveau bandeau d’information ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

La Cnil a sanctionné sans passer par le RGPD
Il est intéressant de relever un point de droit habile de la part de la Cnil dans ses délibérations. En effet, l’autorité ne s’est pas fondée sur le règlement général des données personnelles (RGPD) – pourtant en vigueur au niveau européen depuis le 25 mai 2018 – mais sur la directive européenne « ePrivacy » (3), transposée à l’article 82 de la loi française « Informatique et libertés », laquelle a explicitement vocation à s’appliquer aux cookies. En effet, cette directive – ayant également servi de base légale à l’établissement des nouvelles lignes directrices (4) et recommandations (5) de la Cnil en matière de cookies – prévoit en son article 5.3 que : « Les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cet article, transposé dans des termes similaires en droit français dans la loi « Informatique et libertés », a permis à la Cnil d’éviter l’application du RGPD et de se cantonner à son droit interne.
L’intérêt est double : d’une part, l’éviction du RGPD permet une lecture plus simple des règles en matière de cookies, pour lesquelles un seul texte fait référence, à savoir la loi « Informatique et liberté ». D’autre part, l’exclusion du RGPD a permis au gendarme français des données personnelles de se considérer comme territorialement compétente pour contrôler et sanctionner les cookies déposés par Amazon et Google sur les ordinateurs des utilisateurs résidant en France. Si le RGPD avait été applicable, le principe de « guichet unique » aurait été mis en place. En pareil cas, l’autorité chef de file qui envisage de prendre une décision à l’égard de traitements transfrontaliers de données, à savoir à l’encontre d’une entreprise établie dans plusieurs Etats de l’Union européenne (UE), aurait dû se charger de coordonner la prise de décision avec les autres autorités concernées par le traitement. En d’autres termes, pour pouvoir sanctionner Amazon et Google, la Cnil aurait dû s’accorder avec tous les pays de l’UE dans lesquels les entreprises sont présentes, à savoir les Vingt-sept… Autant dire : mission impossible ! Au contraire, la Cnil a décidé de se fonder uniquement sur le droit national et sur l’article 3 de la loi « Informatique et libertés » pour juger que le dépôt de cookies a été effectué dans le cadre des activités d’Amazon France et de Google France, lesquelles sont constituées sur le territoire français. Ces sanctions, qui se veulent exemplaires (quoique relatives au regard du chiffre d’affaires de ces « GAFA »), s’expliquent par l’influence de ces sociétés sur les internautes, lesquels seraient plus 50 millions selon la Cnil à avoir été affectés par ces pratiques. Ces sanctions infligées par le gendarme français des données personnelles n’ont rien de surprenant en ce qu’elles s’inscrivent dans la droite lignée des directives prises depuis l’été 2019 relatives aux cookies, et mises à jour le 1er octobre 2020, aux termes desquelles la Cnil rappelle deux règles fondamentales visant à la protection des internautes. La première est l’information : avant une acceptation des cookies, le site internet doit informer de façon claire et synthétique la finalité poursuivie pour la collecte de ces cookies (publicité, réseaux sociaux, contenu ciblé etc.).
La seconde est un refus aussi simple qu’une acceptation : l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter. Par conséquent, si un seul clic est mis en place pour accepter les cookies, le même procédé aussi rapide doit être mis en place par les éditeurs pour pouvoir les refuser. Sur ce fondement, la Cnil dispose donc d’une série d’outils juridiques pour sanctionner les dépôts automatiques de cookies ou des comportements peu clairs des éditeurs en matière de recueil de consentement ou d’information. En complément de ces amendes administratives, la Cnil a également adopté une injonction sous astreinte à l’encontre d’Amazon et de Google, afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi « Informatique et libertés » dans un délai de trois mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront à partir de mars 2021 au paiement d’une astreinte de 100.000 euros par jour de retard. Amazon et Google ont ainsi trois mois pour mettre de nouveau à jour leur site internet et en particulier les bandeaux d’information d’accès aux différents sites.

A partir de fin mars 2021, la Cnil sévit
Gardons en mémoire qu’à la suite de la publication des lignes directrices de la Cnil et de ses recommandations le 1er octobre 2020, il a été laissé six mois – soit jusqu’à fin mars 2021 (6) – aux différents acteurs concernés, principalement les éditeurs ou hébergeurs de sites Internet, pour se conformer aux règles édictées, qui sont identiques à celles rappelées à Amazon et Google. Amazon et Google n’ont que trois mois – jusqu’à fin mars également – pour se mettre en conformité, sous peine d’une lourde astreinte en cas de défaut. Ainsi, à partir du printemps prochain, tous les éditeurs de sites Internet – gros ou petits – seront soumis en France aux mêmes règles et risques de sanction. @

Retour sur le rapport parlementaire « antistrust » qui a convaincu des Etats américains d’attaquer les GAFA

Alors que des Etats américains se coalisent pour engager des poursuites judiciaires à l’encontre de Google et de Facebook, accusés d’abus de position de dominante, revenons sur les conclusions du rapport parlementaire « antitrust » qui appelle le Congrès des Etats-Unis à légiférer contre les GAFA.

Par Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique continue à désemparer les juristes dès lors que depuis plus de vingt ans, le droit ne cesse de courir désespérément derrière la technique. Que ce soit notamment du fait de l’abolition des frontières ou de la fin du monopole du support papier, le numérique s’est développé en dehors des lois et des Etats. Et c’est au nom de la défense de la liberté individuelle que les GAFA (1) se sont opposés à toute réglementation étatique. La tâche est d’autant plus facile que les Etats ne sont même pas d’accord entre eux sur la conduite à tenir.

Des start-up aux « killer acquisitions »
Schématiquement les Européens étaient en faveur d’une réglementation contraignante des GAFA, alors que les Américains – pensant être les bénéficiaires économiques de ces méga-plateformes numériques nées sur leur sol et suspectant des mesures protectionnistes européennes d’entraves à la mondialisation en marche – y étaient opposés ! Les Etats-Unis, eux, sont plus partisans d’une sorte de soft power par l’économie. Or, aujourd’hui, les GAFA sont devenus des monstres qui disposent d’une puissance dépassant ou rivalisant avec celle de certains Etats. Alors que le « Vieux Continent » – notamment la Commission européenne et les autorités de la concurrence françaises, allemandes et britanniques – ne cesse de réfléchir aux moyens de contrôler ladite puissance et de sanctionner ses abus, le « Nouveau Monde » semblent commencer à se préoccuper de la situation.
La commission des Affaires juridiques de la Chambre des représentants des Etats-Unis (2) a publié en octobre 2020 un rapport d’enquête concernant l’état de la concurrence sur les marchés numériques. L’objectif était de documenter les problèmes de concurrence, d’examiner si les entreprises dominantes se livraient à un comportement anticoncurrentiel, et d’évaluer si les lois antitrust existantes, ainsi que les politiques de concurrence et les niveaux d’application actuels, étaient adéquats. Après plus d’une année d’enquête, la collecte de preuves d’environ 1,3 million de documents, l’audition des différents intervenants et notamment les « Chief Executive Officer » (CEO) respectifs des GAFA (3), le rapport tire de nombreux enseignements. Ce rapport de 451 pages (4), qui fera date, constate que ces entreprises qui étaient autrefois des start-up rebelles et négligées sont devenues le genre de monopoles que les Etats-Unis ont connus à l’ère des barons du pétrole, des magnats des chemins de fer, et des financiers des télécommunications.
• Google a le monopole sur les marchés de la recherche générale en ligne et de la publicité. L’entreprise s’est depuis étendue à beaucoup d’autres secteurs d’activité (Chrome comme navigateur, Google Maps pour la cartographie, Google Cloud dans le nuage informatique, ou encore « l’Internet des objets » pour ne citer qu’eux).
• Amazon a une position dominante sur le marché des achats en ligne. Elle exerce un pouvoir de monopole sur de nombreuses petites et moyennes entreprises qui n’ont pas d’alternative viable à Amazon pour atteindre les consommateurs en ligne.
• Facebook a un pouvoir de monopole sur le marché des réseaux sociaux. Facebook a également maintenu son monopole grâce à une série de pratiques commerciales anticoncurrentielles.
• Apple a un pouvoir de marché significatif et durable sur le marché des systèmes d’exploitation mobiles lui permettant ainsi de contrôler toutes les distributions de logiciels sur les appareils iOS.
Bien qu’étant différentes, ces quatre sociétés ont des pratiques commerciales qui révèlent des problèmes communs. Chaque plateforme sert désormais de « portier » (gatekeeper) sur son canal-clé de distribution. En contrôlant l’accès aux marchés, les GAFA peuvent choisir les gagnants comme les perdants. Le succès des entreprises et des acteurs du marché (et donc leurs moyens de subsistance économiques) dépend donc du bon vouloir et de l’arbitraire des plateformes dominantes.

Première victime : le consommateur
Ce pouvoir est non seulement démesuré mais ils en abusent en facturant des frais exorbitants, en imposant des clauses commerciales abusives et en exploitant des data précieuses provenant de ceux qui utilisent leurs services. Pour renforcer leur position dominante, chaque plateforme utilise son statut de « portier » pour empêcher l’arrivée de nouveaux concurrents – notamment en identifiant et, le cas échéant, en annihilant des rivaux potentiels : soit en les rachetant, soit en les copiant ou soit en les détruisant. Le rapport mentionne même par deux fois l’expression « killer acquisitions ».
Le rapport reconnaît que les GAFA ont apporté des avantages évidents à la société américaine, cependant il constate que leur domination a un prix et qu’il est coûteux. La première victime est le consommateur. Par exemple, en l’absence de concurrence d’Apple, non seulement la qualité et l’innovation parmi les développeurs d’applications mais aussi le choix pour les consommateurs ont été réduits et les prix ont augmenté.
De même, la qualité de Facebook s’est détériorée au fil du temps, entraînant une dégradation de la protection de la vie privée de ses utilisateurs et une augmentation spectaculaire de la désinformation sur sa plateforme. En l’absence de garde-fous de protection de la vie privée adéquats aux Etats-Unis, la collecte persistante et l’utilisation abusive des données des consommateurs sont un indicateur du pouvoir de marché en ligne.

Pouvoir de marché en ligne accru
Le consommateur direct n’a pas été la seule victime de ces comportements ; le citoyen l’est aussi. En effet, les abus de ces positions dominantes affectent aussi la presse indépendante et diversifiée, l’innovation, la vie privée en ligne des Américains (la confidentialité et les données), mais aussi la démocratie. Le rapport relève qu’il existe une asymétrie de pouvoir significative et croissante entre les plateformes dominantes et les organes de presse. Cette domination a des effets néfastes sur la production et la disponibilité de sources d’information fiables. La domination de certaines plateformes en ligne a contribué au déclin des sources d’informations fiables qui sont pourtant essentielles à la démocratie.
La montée en puissance du pouvoir de marché en ligne a également affaibli considérablement l’innovation et l’esprit d’entreprise dans l’économie américaine. Certains investisseurs en capital-risque ne souhaitent pas financer de jeunes entreprises qui osent tenter d’entrer en concurrence frontale avec ces entreprises dominantes. Enfin, le pouvoir de marché de ces plateformes risque aussi de saper les libertés politiques. Du fait de leur position dominante, chacune de ces entreprises gère dorénavant sa part de marché et écrit sa propre quasi-réglementation privée sans rendre compte à personne d’autre qu’à elle-même. Par le lobbying, ces entreprises renforcent leur pouvoir d’influence sur le processus d’élaboration des politiques, façonnant davantage la manière dont elles sont gouvernées et réglementées. Elles sont devenues des Etats dans l’Etat. Les GAFA prennent aussi quelques libertés avec les tribunaux, soit parce que ces entreprises se considèrent comme au-dessus de la loi, soit parce qu’elles considèrent la violation de la loi comme un coût commercial. Ces géants du Net ont trop de pouvoir et cela va encore empirer car, dans la prochaine décennie, ils vont probablement concentrer à eux seuls 30 % de la production économique brute mondiale. Ce market power doit donc être limité et soumis à surveillance et contrôle, voire à sanctions. L’économie et la démocratie des Etats-Unis sont en jeu, et a fortiori aussi celles d’autres régions du monde. Pour tenter d’enrayer ce phénomène, le rapport affirme que les lois doivent être actualisées pour permettre à l’économie américaine de rester dynamique et ouverte à l’ère numérique. Il formule les objectifs suivants : restaurer la concurrence dans l’économie numérique, renforcer les lois antitrust, et relancer l’application de la loi antitrust. Cette condamnation sans appel du pouvoir démesuré et abusif des GAFA et cette invitation à agir – véritable appel à légiférer – sera-t-elle suivie d’effets ? Pour ce faire, il faudrait une évolution concomitante du pouvoir législatif, c’est-à-dire du Congrès américain (or ce rapport écrit essentiellement par des démocrates n’est probablement pas l’expression de la majorité du Congrès), du pouvoir exécutif (celui qui applique les lois de la concurrence) et du pouvoir judiciaire (puisqu’une évolution nécessiterait au préalable des revirements de jurisprudence de la Cour Suprême des Etats-Unis en matière de règles antitrust).
La tâche sera dure et la route longue. On peut y voir, a minima, une prise de conscience américaine et espérer que l’Amérique ne sera plus un obstacle aux tentatives de réglementation de l’Europe. Depuis 2016, la Commission européenne tente de repenser les règles du contrôle des concentrations dès lors que le critère du simple chiffre d’affaires de la cible n’est plus l’unique critère pertinent sur le marché numérique (5). Une des pistes serait de renforcer le caractère dissuasif des sanctions financières en cas d’abus de position dominante. Face aux chiffres d’affaires colossaux des GAFA, des amendes ont actuellement un effet marginal (6).

Les BATX et les YVOT en embuscade
Reste la solution du démantèlement pure et simple évoquée par ce rapport « anti-trust ». Si cette hypothèse semble être la seule solution concrète pour régler définitivement les abus des GAFA, elle n’est pas sans risque. En effet, elle ne peut être sérieusement envisagée qu’au niveau mondial. A défaut, démanteler les GAFA reviendrait à laisser la place vide aux BATX (7) chinois ou aux YVOT (8) russes qui sont en embuscade. Or le numérique est comme la nature, il a horreur du vide. Le risque serait donc de supprimer un risque américain pour lui substituer un risque d’un autre continent. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Les éditeurs n’ont plus que quatre mois pour adopter la nouvelle recette de la Cnil sur les cookies

La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.

Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy

Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.

Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.

Ingrédient essentiel : le consentement
La « recette » reste inchangée : sans consentement, pas de cookies – sauf exceptions. Mais, à la suite de l’entrée en vigueur du RGPD le 25 mai 2018, les modalités d’obtention de ce consentement préalable ont été durcies. Pour que le consentement soit valide il faut désormais, selon la Cnil, que la bannière cookies permette à l’utilisateur :
D’exprimer son consentement à l’utilisation de cookies par un acte positif clair, comme par exemple cocher une case (non pré-cochée) ou cliquer sur un bouton « accepter ». Changement majeur donc : la simple poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement.
D’accepter ou refuser le dépôt de cookies avec le même degré de simplicité, via le même écran. Alors que la Cnil réclamait initialement dans son projet de recommandation une symétrie parfaite pour les boutons accepter et refuser (même niveau, même format), elle semble avoir quelque peu assoupli sa position en envisageant également d’autres modalités de refus comme par exemple un bouton « continuer sans accepter » situé sur le même écran, mais à un autre niveau. Même si la Cnil met en garde contre les pratiques trompeuses qui mettent visuellement plus en valeur un choix plutôt qu’un autre, un tel assouplissement risque néanmoins de permettre aux éditeurs d’orienter le choix des utilisateurs en adaptant le design de l’interface.
D’exprimer son choix de manière granulaire. Si l’utilisateur peut avoir la possibilité d’accepter tous les cookies en même temps (via un bouton « tout accepter » par exemple), il doit également avoir la possibilité d’exercer son choix finalité par finalité. Un bouton « personnaliser mes choix » qui se trouverait au même niveau que le bouton « tout accepter » doit lui être proposé.

Les « cookie walls » sous surveillance
Quant à la position de la Cnil sur les « cookie walls » qui consistent à subordonner la fourniture d’un service ou l’accès à un site en ligne à l’acceptation de cookies, elle était également très attendue. D’autant qu’un arrêt du Conseil d’Etat (8) avait annulé la prohibition générale et absolue d’une telle pratique initialement souhaitée par la Cnil, satisfaisant ainsi de nombreux professionnels du numérique – notamment des médias et de la publicité. Cette pratique des « cookie walls » est mise en œuvre par de nombreux éditeurs qui espèrent conduire ainsi une majorité d’utilisateurs à donner leur consentement. Si la Cnil a assoupli sa position à la suite de l’arrêt du Conseil d’Etat, elle n’en demeure pas moins réticente car elle considère que ces cookies « accepter sinon pas d’accès » sont susceptibles de porter atteinte à la liberté du consentement. Elle tire néanmoins les conséquences de l’arrêt du Conseil d’Etat en admettant une telle pratique à condition que sa licéité soit analysée au cas par cas et que l’éditeur indique clairement à l’utilisateur qu’il ne pourra accéder au contenu souhaité sans donner son consentement. On reste malgré tout loin du blanc-seing souhaité par de nombreux acteurs du marché qui ont été à l’origine d’un lobbying actif sur ce sujet…
Les éditeurs de sites web ou d’applications mobiles doivent être en mesure de démontrer à tout moment que le consentement a été valablement recueilli (9). A cette fin, la Cnil propose plusieurs moyens : mise sous séquestre du code informatique utilisé, capture d’écran, audits réguliers, conservation des informations relatives aux outils utilisés, etc. Concernant la durée de conservation du choix de l’utilisateur, la Cnil recommande de le conserver pendant une période de six mois. Un tel délai, protecteur des intérêts des utilisateurs, s’avère cependant bien contraignant pour les éditeurs qui, par exemple, ne pourront pas ressolliciter trop rapidement un utilisateur ayant refusé le dépôt de cookies. La Cnil ne s’était d’ailleurs prononcée en 2013 que sur le délai de validité du consentement qui était alors bien plus long puisqu’il pouvait aller jusqu’à treize mois. Les éditeurs pourront néanmoins prévoir une durée différente de conservation sous réserve d’être en mesure d’en expliquer les raisons. Dans un souci toujours évident de protéger les choix des utilisateurs, la Cnil précise enfin que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment aussi simplement qu’ils l’ont donné. Le moyen mis à disposition pour retirer leur consentement doit donc être aisément accessible sur toutes les pages du site web ou de l’application mobile, à travers un intitulé explicite et doit pouvoir être utilisé facilement. Sont donc proscrites les pratiques consistant à renvoyer l’utilisateur de page en page puis de lien en lien avant de lui permettre d’accéder au mécanisme de gestion des cookies.
En conclusion, si la recette de la Cnil n’a pas fondamentalement changé, elle s’est sans aucun doute complexifiée. La Cnil réaffirme ainsi sa volonté de protéger au mieux les données des utilisateurs – au risque d’impacter négativement de nombreux éditeurs et publicitaires, qui risquent de voir leurs taux de consentement chuter drastiquement. La Cnil tente néanmoins de faire preuve de pragmatisme en laissant aux éditeurs six mois pour se mettre en conformité et en essayant de leur fournir des conseils concrets et détaillés à travers ses recommandations. Cette mise en conformité ne doit cependant pas tarder car la Cnil a indiqué qu’elle ferait du respect des dispositions applicables aux cookies l’un de ses axes de contrôle pour 2021. Rappelons que l’autorité de la protection des données a la possibilité d’effectuer des contrôles en ligne et qu’elle avait sanctionné de cette manière de nombreuses sociétés en 2013 lors de la publication de ses précédentes lignes directrices. @

FOCUS
Des exemptions au consentement obligatoire très limitées
Comme auparavant, un certain nombre de cookies sont exemptés des obligations d’information et d’obtention du consentement. Il s’agit des cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. La Cnil cite plusieurs exemples de cookies concernés par l’exemption comme ceux destinés à l’authentification de l’utilisateur ou ceux permettant de garder en mémoire le contenu d’un panier d’achat. Toutefois, les utilisateurs doivent être informés de l’existence de ces traceurs, par exemple dans la politique de confidentialité. Quant aux cookies de mesure d’audience (10), ils sont désormais présentés par la Cnil comme faisant partie des cookies pouvant par principe bénéficier de l’exemption (là où en 2013 ils constituaient plutôt l’exception). Mais ce cookie de mesure d’audience doit avoir pour seule finalité… la mesure de l’audience et pour le compte exclusif de l’éditeur — donc pas de transmission des données à des tiers (11).
En pratique, les offres les plus utilisées, telles que Google Analytics ou Facebook Analytics, qui réutilisent souvent les données pour leur propre compte, ne pourront probablement pas bénéficier de l’exemption sauf à proposer des paramétrages de leurs outils spécifiques. @