Les cookies non-sollicités ont la vie dure, mais les sanctions pécuniaires commencent à tomber

En France, les éditeurs de sites web – au premier rang desquels une quarantaine mis en demeure en juillet par la Cnil, après une vingtaine en mai – sont censés s’être mis en conformité depuis le 6 septembre. La Grande-Bretagne, elle, tente de réhabiliter les cookies.

Permettre aux internautes et aux mobinautes de refuser les cookies aussi simplement que de les accepter. Telle est la philosophie des « Cnil » européennes, conformément à la directive sur la protection des données électroniques (ePrivacy) et le règlement général sur la protection des données (RGPD). En France, après une soixantaine de mises en demeures sur les cookies par la Commission nationale de l’informatique et des libertés (Cnil), présidée par Marie-Laure Denis (photo), les sociétés et organisations contrevenantes à la nouvelle réglementation sur les cookies avaient jusqu’au 6 septembre pour s’y conformer.

Le site web Lefigaro.fr sanctionné
Par exemple, le 27 juillet dernier, le groupe Le Figaro a été sanctionné et mis à l’amende par la Cnil – à hauteur de 50.000 euros – « en raison du dépôt de cookies publicitaires à partir du site lefigaro.fr sans recueil du consentement préalable des internautes ». Ces petits fichiers, mouchards ou témoins des « faits et gestes » des internautes enregistrés lors de leurs navigations personnelles, étaient automatiquement logés dans l’ordinateur du visiteur du site web du quotidien Le Figaro par des partenaires de la société éditrice, mais sans action de la part de cet utilisateur ou malgré son refus. Une plainte d’une utilisatrice du Figaro.fr avait été déposée le 16 août 2018 auprès de la Cnil, la plaignante faisant notamment état de l’installation de cookies sur son terminal avant toute action de sa part sur le site web du quotidien et sans recueil de son consentement. L’éditeur du Figaro a tenté de faire valoir le fait que « l’ensemble des cookies identifiés dans le rapport [de la Cnil] comme étant des cookies “internes”, c’est-à-dire déposés par les domaines du site qu’elle édite [lefigaro.fr, player-video.lefigaro.fr], sont en réalité déposés par des tiers au moyen d’un code Javascript exécuté par la page du site web de l’éditeur visitée par l’internaute ». Le Figaro a indiqué que, dans ce cas, « [elle] n’est pas au courant de l’existence de ce cookie et n’a pas le moyen d’en contrôler le dépôt ou la lecture ». La Cnil ne l’a pas entendu de cette oreille : « Plusieurs de ces cookies poursuivaient un objectif publicitaire et auraient dû être soumis au consentement de l’utilisateur », a estimé la Cnil qui a décidé de mettre à l’amende la filiale média du groupe Dassault et de rendre publique cette décision (1) – en plus d’être publiée au Journal Officiel (2). Ce non-respect des règles sur les cookies par Lefigaro.fr remontait avant l’entrée en application du RGPD européen et s’est poursuivi malgré les nouvelles lignes directrices et la recommandation de la Cnil datant du 1er octobre 2020 – faisant suite aux directives « cookies » (3) prises par cette dernière à l’été 2019 et abrogeant la recommandation de 2013.
La Cnil a estimé que le cas du Figaro, mais aussi dans de nombreuses autres affaires, que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur de sa propre responsabilité dans la mesure où il a la maîtrise de son site web et de ses serveurs informatiques. « Cette décision s’inscrit dans le prolongement de la décision du Conseil d’Etat dite “Editions Croque Futur” du 6 juin 2018 (4), qui précisait déjà la répartition des responsabilités entre les éditeurs de site [web] et leurs partenaires », a justifié le gendarme des données personnelles et de la vie privée. Le Conseil d’Etat a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ». Entre 2020 et 2021, l’autorité administrative indépendante dit avoir signifié à ce jour environ 70 mesures correctrices – mises en demeure et sanctions – en lien avec le non-respect de la législation sur les cookies. Et que dans 60 % des cas, il s’agit de sociétés ou d’organismes « étrangers », à savoir que la société mère est établie en dehors de la France.

Amazon et Google condamnés en France
C’est ainsi que la Cnil a prononcé le 7 décembre 2020 deux sanctions sans précédente en Europe à l’encontre d’Amazon (5) et de Google (6), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français de la protection des données personnelles a reproché aux deux géants du Net d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Comme Le Figaro et les autres récalcitrants (grandes plateformes numériques, fabricants de matériel informatique et de logiciels, sociétés de e-commerce, acteurs du tourisme en ligne, sociétés de location de véhicules, établissements bancaires, collectivités locales, fournisseur d’énergie, et même des services publics en ligne), ils ont été condamnés à une amende pour avoir violé l’article 82 de la loi « Informatique et libertés ».

La Grande-Bretagne veut des cookies !
Celui-ci impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur. Potentiellement, les amendes peuvent atteindre jusqu’à 2 % du chiffre d’affaires de l’entité condamnée pour non-conformité. La Cnil a déjà prévenu : les contrôles s’inscrivent dans la durée avec d’autres campagnes de vérifications et de mesures correctrices qui seront ainsi menées à partir de cette rentrée 2021-2022, « afin d’assurer le respect de la vie privée des internautes français ».
Au 14 septembre, sur la quarantaine d’éditeurs de sites web mis en demeure cet été, « 80 % des acteurs concernés se sont mis en conformité » – pas les 20 % restants… Et le gendarme des données personnelles, qui assume sa politique répressive, de prévenir les mauvais joueurs présents et futurs : « De nouvelles campagnes de contrôle sont en cours de préparation. Comme les précédentes, elles continueront à cibler des acteurs privés nationaux et internationaux, mais également des organismes publics dont les sites web génèrent un trafic important. Par ailleurs, une attention particulière sera portée aux sites des partis politiques en raison des élections présidentielles qui se dérouleront en 2022. Les vérifications continueront à porter sur la possibilité de refuser les cookies aussi simplement que de les accepter, mais également sur le respect effectif de ce choix » (7). Les cookies déposés sans consentement ou refus préalables sur les disques durs des ordinateurs ont donc la vie dure, tout comme ceux mis dans les mémoires de stockage des smartphones ou des tablettes.
Mais à force de vouloir protéger la vie privée des internautes, les bannières surgissantes sont devenues presque systématiques et gênent la fluidité de navigation sur le Web. Et des voix commencent à s’en plaindre. Fin août, dans une interview parue le 26 dans The Telegraph, le secrétaire d’Etat britannique au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, il a prévenu qu’il a l’intention de supprimer les fenêtres surgissantes sans arrêt sur les écrans des visiteurs de sites web pour leur demander d’accepter ou de refuser le dépôt de cookies et, ce faisant, la permission stocker des renseignements personnels au sujet de chacun d’eux. Bien que le ministre britannique membre des conservateurs convienne que les cookies présentant « un risque élevé pour la vie privée des personnes » devront toujours recevoir un avis de consentement, il a affirmé que bon nombre de ces bannières intempestives sont « inutiles » et « devraient être supprimées ». Depuis que le Brexit est entré en vigueur le 1er janvier 2021, la Grande-Bretagne veut s’affranchir du RGPD et prépare sa propre réglementation sur la protection des données. Et l’assouplissement de l’autorisation demandée en ligne aux internautes concernant les cookies serait envisagé. Mais Oliver Dowden se veut prudent sur les intentions du gouvernement britannique dans ce domaine sensible, assurant que « nous pouvons toujours veiller à ce que des normes élevées de protection de la vie privée soient protégées » (8). Il s’agit aussi de ne pas heurter l’Union européenne, avec laquelle le Royaume-Uni a signé pour quatre ans des « accords d’adéquation sur les données » commerciales et policières. Si Bruxelles était amené à dire que Londres va trop loin dans sa réforme sur les données personnelles, une rupture de ces accords pourrait compliquer la vie des entreprises britanniques vis-à-vis de l’Europe.
Le ministre britannique se veut confiant pour la réforme à venir, prenant l’exemple de deux autres pays indépendants que sont le Japon et la Nouvelle-Zélande, dont les données sont considérées comme « adéquates » par l’Union européenne.

Noyb (Max Schrems) épingle
L’organisation autrichienne non gouvernementale Noyb (9) multiplie, elle, des actions en Europe en déposant des centaines de plaintes devant la justice de plusieurs pays européens contre des sites web contrevenant aux règles du RGPD sur le dépôt ou pas des cookies via une bannière simplifiée et sans ambiguïté. C’est oui ou bien c’est non.
Le 10 août dernier, Noyb a officiellement déposé 422 plaintes sur les 10.000 sites web mis sous surveillance. « Certains acteurs majeurs comme Seat, Mastercard ou Nikon ont instantanément changé leurs pratiques, s’est félicité Max Schrems, président de la Noyb (10). Cependant, de nombreux autres sites web n’ont cessé que les pratiques les plus problématiques. Par exemple, ils ont peut-être ajouté une option de “rejet”, mais celle-ci reste difficile à lire ». @

Charles de Laubier

Après Facebook et Apple, Noyb – cofondée par l’Autrichien Max Schrems – s’attaque à Google

L’organisation Noyb indique à Edition Multimédi@ que « le plaignant français » (en fait plusieurs plaintes de Français) a reçu le 9 avril un e-mail de la Cnil lui confirmant la réception le 6 avril de sa plainte contre Google, accusé de le suivre sans son consentement via des « cookies » AAID.

« Nous ne connaissons pas l’étape de la procédure, mais nous savons que le plaignant [en fait plusieurs plaintes de Français épaulés par Noyb, ndlr] a reçu une confirmation de réception le jour du dépôt et il a reçu un autre courriel le 9 avril confirmant que la plainte avait été attribuée au “service des plaintes de la Cnil (1)” », nous a précisé une porte-parole de l’organisation cofondée en 2017 par l’Autrichien Maximilian Schrems (photo), tout en nous confirmant que « le plaignant est un citoyen français ». De son côté, la Cnil a répondu à Edition Multimédi@ qu’elle est « en train d’étudier la recevabilité des plaintes reçues par ce biais » – à savoir en « m[ettant] un “modèle” de plainte sur son site ».

Eviter l’Irlande via la directive « ePrivacy »
L’Android Advertising Identifier (AAID) est à Google ce que l’Identifier for Advertisers (IDFA) est à Apple. Ce sont des traceurs qui permettent, une fois déposés sous forme de « cookies » dans les terminaux des Européens, de les suivre à la trace justement dans leurs navigations sur le Web ou sur les applications mobiles, tout en capitalisant sur leurs comportements de visiteurs et de consommateurs à des fins de ciblages publicitaires et marketing. Comme pour l’IDFA d’Apple sur les terminaux sous iOS, l’AAID de Google est, selon Noyb, « un code de suivi non autorisé installé illégalement sur les téléphones Android ». Cinq moins après avoir déposé plainte – le 16 novembre 2020 – contre Apple et son traceur installé sous forme de cookies dans les terminaux iOS des utilisateurs européens, et sans leur consentement préalable pourtant rendu obligatoire par la directive européenne « ePrivacy » de 2002 (modifiée en 2006 et 2009), l’organisation Noyb (2) a de nouveau porté plainte le 6 avril dernier, mais cette foisci contre Google et son traceur du même genre. Alors que la plainte contre la marque à la pomme avait été déposée à la fois auprès de la « Cnil » allemande, le BfDI (3), et auprès de la « Cnil » espagnole, la AEPD (4), la plainte contre l’éditeur du système d’exploitation Android a, elle, été adressée à la Cnil en France (5). Dans ces deux affaires, « Apple/IDFA » et « Google/AAID », Noyb attaque les deux géants du numérique sur le fondement de la directive « ePrivacy » concernant le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (6). Car, selon l’organisation autrichienne, la directive sur la protection des données électroniques (ePrivacy) prévaut juridiquement sur le règlement général sur la protection des données (RGPD). Mais la directive présente un double avantage sur le règlement. D’une part, l’article 5.3 de la directive prévoit clairement que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données ». Chaque Etat membre de l’Union européenne (UE) a transposé en droit national cette disposition, comme en France dans la loi « Informatique et libertés ».
D’autre part, la directive « ePrivacy » permet à la « Cnil » nationale d’être compétente pour contrôler et sanctionner les pratiques dans le dépôt cookies et le recueil préalable du consentement des utilisateurs. Alors que si le plaignant de Noyb s’était appuyé sur le règlement RGPD, l’instruction de la plainte et ses éventuelles sanctions auraient dû être confiées à la « Cnil » en Europe considérée comme l’autorité « chef de fil » car relevant du pays européen où la plateforme numérique en question est basée. En l’occurrence, Apple et Google ont leur quartier général européen en Irlande – le premier à Cork, le second à Dublin. Cela aurait dû être alors à la « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC), d’instruire les deux affaires.

Le terminal personnel doit être sanctuarisé
Mais Max Schrems a voulu éviter d’en passer par l’Irlande où, comme il l’a affirmé à l’AFP le 21 avril, « 99,9% des dossiers sont tout simplement jetés à la poubelle » ! De plus, pour pouvoir mettre à l’amende Apple et Google, il aurait fallu s’accorder avec tous les pays de l’UE dans lesquels ces entreprises sont présentes. Ce qui est loin d’être gagné d’avance. Alors qu’en utilisant l’article 5.3 de la directive « ePrivacy », comme l’a déjà fait la Cnil en France (où il a été transposé dans la loi « Informatique et libertés ») pour sanctionner financièrement en décembre dernier Amazon (35 millions d’euros) et Google (100 millions d’euros) pour infraction aux règles sur les cookies (8), chaque « Cnil » est compétente sur son territoire pour contrôler et sanctionner.
Le considérant 24 de la directive « ePrivacy » est on ne peut plus clair sur l’extension du domaine de la vie privée des internautes et mobinautes : « L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ».

Série d’affaires, de « Schrems 1» à « Schrems 4»
Et le législateur européen d’enfoncer le clou pour mettre en garde les plateformes numériques, réseaux sociaux et autres sites web : « Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné ». Tout est dit. L’article 5.3, lui, va ainsi règlementer deux types de traitement : le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur. L’organisation de Max Schrems part du principe que la directive « ePrivacy » est technologiquement neutre (confortée par un avis du groupement des « Cnil » européennes, le G29, en avril 2012) et considère que l’AAID de Google comme l’IDFA d’Apple sont « très similaire[s] à un identifiant de traçage présent dans un cookie de navigation ».
Ainsi, l’éditeur d’Android et le fabricant d’iPhone – voire des tierces parties telles que les fournisseurs d’applications mobiles – peuvent chacun de leur côté « accéder l’information stocker dans l’équipement terminal de l’utilisateur » et « ceci peut être utilisé afin de déterminer les préférences de l’utilisateur associées avec son [AAID ou IDFA] afin d’afficher des annonces pertinentes sur d’autres applications ou même sur des pages de site web non liés ». Ces affaires « Apple/IDFA » et « Google/AAID », que l’on pourrait surnommer les affaires, respectivement « Schrems 3 » et « Schrems 4 », interviennent après les deux précédentes affaires judiciaires initiées et remportées par Max Schrems. Avant qu’il ne crée Noyb, ce jeune homme (actuellement 33 ans) s’était fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats-Unis. Ce qui a amené la Cour de justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’était l’affaire « Schrems 1 » (9), laquelle a propulsé Max Schrems audevant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (10), celui-ci a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (11), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD).
Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (12). C’est l’affaire « Schrems 2 » (13) qui a renforcé la légitimité de Max Schrems (14) face à la firme de Mark Zuckerberg. Avec une quinzaine de personnes travaillant pour elle, l’organisation à but non lucratif Noyb, surnommée European Center for Digital Rights et basée à Vienne, ne se limite pas à ces affaires emblématiques puisque plus d’une centaine de recours l’occupent actuellement.

Données de localisation : « Schrems 5 » ?
Par exemple, Noyb a porté plainte en juin 2020 sur la base du RGPD contre l’opérateur mobile A1 Telekom en Autriche pour manque de transparence sur les données de géolocalisation collectées auprès de ses mobinautes. « Où étiez-vous ? Ça ne vous regarde pas ! ». En Australie cette fois, l’autorité de la concurrence ACCC a d’ailleurs pour la première fois au monde sanctionné le 16 avril Google pour avoir « induit les consommateurs en erreur au sujet de la collecte et de l’utilisation des données de localisation » (15). Il y a matière pour une affaire « Schrems 5 »… @

Charles de Laubier

Fini les cookies, place aux « intérêts communs »

En fait. Les 3 mars, Google a annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage « personnalisé » – au profit de « centres d’intérêts » de groupes d’individus. Des tests débuteront au second trimestre. Coup de grâce aux mouchards ?

En clair. Demain, on ne dire plus « cookies » mais « cohortes ». Les petits mouchards publicitaires installés – jusqu’alors sans le consentement express des internautes trackés et ciblés – vont bientôt relever de la préhistoire du Web. Controversés depuis longtemps, car portant souvent atteinte à la vie privée des internautes et des mobinautes, les cookies laisseront un goût amer. Et l’obligation récente faite aux sites web et plateformes numériques, notamment en France avec les contrôles et sanctions de la Cnil qui vont démarrer à partir du 1er avril 2021, ne changera rien à l’affaire. Google – déjà épinglé en France (1) – va leur donner le coup de grâce au niveau mondial, en abandonnant les cookies tiers au profit des « cohortes » : ce que les développeurs du Web appellent « FLoC », pour Federated Learning of Cohorts (2). Potentiellement, tous les navigateurs (Chrome de Google, Fixefox de Mozilla, Edge de Microsoft, Safari d’Apple, etc.) peuvent tourner le dos aux cookies pour miser sur les centres d’intérêts sur le Web. La « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaire. Et ce, sans ne plus avoir à identifier les individus un par un mais ensemble de façon non indentifiable. « Pour que l’Internet reste ouvert et accessible à tous, nous devons tous faire davantage pour protéger la vie privée, ce qui signifie la fin non seulement des cookies tiers, mais aussi de toute technologie utilisée pour tracker les personnes qui naviguent sur le Web », a prévenu David Temkin, directeur de gestion de produit « Ads Privacy and Trust » chez Google, dans un post publié le 3 mars (3).
La filiale d’Alphabet ne va plus suivre à la trace les utilisateurs sur non seulement ses propres services mais aussi sur d’autres sites web. Fini les cookies : place aux foules segmentées par audiences anonymes. Il s’agit aussi de restaurer la confiance sur le Web, mise à mal par ces cookies utilisés sans consentement préalable. « Nos tests de FLoC montrent une façon efficace de retirer les cookies tiers de l’équation publicitaire et de cacher les individus au sein de grandes foules de personnes ayant des intérêts communs », explique David Temkin. En avril, Chrome commencera à redonner le contrôle à ses utilisateurs. Puis, à partir du second trimestre, des tests « FLoC » seront menés, à partir du deuxième trimestre, avec des annonceurs publicitaires dans Google Ads. @

Comment la Cnil a contourné le RGPD pour pouvoir elle-même mettre à l’amende Amazon et Google

La Cnil a invoqué la directive « ePrivacy » et non le RGPD. Et si Amazon et Google n’avaient pas modifié en septembre 2020 leur site web (amazon.fr et google.fr) pour être en conformité – mais partiellement – avec les règles françaises sur les cookies, leurs amendes auraient été plus salées.

Par Mélanie Erber, avocate associée, et Sacha Bettach, avocate, cabinet Coblence

Le 7 décembre 2020, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé deux sanctions inédites en Europe à l’encontre d’Amazon (1) et de Google (2), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français des données personnelles reproche aux deux géants d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Ces sanctions s’inscrivent dans le cadre d’un durcissement national des règles en matière de cookies et dans une volonté européenne plus globale de réguler le monde du numérique.

Ce que la Cnil reproche à Amazon et Google
Après plusieurs contrôles en ligne de la Cnil sur les sites Internet amazon.fr et google.fr, la Cnil a constaté que des cookies – poursuivant essentiellement un objectif publicitaire – étaient automatiquement déposés sur l’ordinateur de l’utilisateur, sans action de sa part. Ce faisant, Amazon et Google ont violé l’article 82 de la loi « Informatique et libertés », qui impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur.
Pour rappel, les cookies sont des fichiers informatiques stockés sur un serveur et présents dans l’ordinateur de l’internaute. A l’aide de ceux-ci, les éditeurs de sites Internet peuvent collecter les données de navigation des internautes voire recueillir un ensemble d’informations telles que les paniers d’achat, les comportements des consommateurs, la publicité ciblée, etc. Selon la Cnil, les techniques de dépôt de cookies d’Amazon et Google ne permettraient pas d’assurer le respect du droit à l’information, le recueil préalable du consentement et du droit à l’opposition des utilisateurs. Plus précisément, concernant amazon.fr, le gendarme français des données personnelles a considéré que les informations fournies n’étaient ni claires ni complètes, en ce que le bandeau d’information affiché en visitant le site web ne contenait qu’une inscription générale, ne permettant pas à l’utilisateur de comprendre que les cookies qui allaient être déposés sur son ordinateur avaient pour finalité de lui afficher des publicités personnalisées. Ledit bandeau n’indiquait pas non plus le droit et les moyens pour l’utilisateur de s’opposer au dépôt de ces cookies. Enfin, dans certaines situations telles que notamment après avoir cliqué sur une publicité d’un autre site Internet, aucune information n’était délivrée aux utilisateurs, alors pourtant que les mêmes cookies étaient déposés.
Le montant de la sanction retenue contre Amazon tient par conséquent compte de tous ces éléments. La notoriété et la place dans le commerce en ligne d’Amazon ont été des facteurs aggravants de la sanction, puisque la personnalisation des annonces rendue possible en grande partie grâce au dépôt de cookies permet d’augmenter considérablement la visibilité des produits d’Amazon sur d’autres sites Internet. Il est à noter au demeurant que la gravité des faits a été légèrement atténuée par la refonte du site amazon.fr en septembre 2020, à la suite de laquelle la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement. Néanmoins, le bandeau d’information reste imprécis quant au dépôt de cookies et au droit d’opposition à ce dépôt. Concernant cette fois le site web google.fr, les faits sont globalement semblables. Le bandeau d’information qui s’affichait en bas de page à chaque visite d’un utilisateur sur le site Internet ne fournissait pas d’information relative aux cookies, pourtant déjà déposés sur l’ordinateur de l’internaute. En outre, si un utilisateur décidait de désactiver la personnalisation des annonces sur la recherche Google, un des cookies publicitaires demeurait stocké sur son ordinateur, ce qui ne permettait pas le respect du mécanisme d’opposition.

La notoriété est une circonstance aggravante
Google LLC, établie en Californie, a été condamnée au paiement d’une amende de 60 millions d’euros, et Google Ireland LTD, établie à Dublin, de 40 millions d’euros. Comme pour Amazon, la notoriété et la portée du moteur de recherche Google Search en France ont été des facteurs aggravants de la sanction, puisque la société tire des revenus publicitaires considérables indirectement générés à partir des données collectées par les cookies publicitaires. La refonte du site google.fr en septembre 2020 – en dépit du fait que la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement – n’a pas permis d’atténuer le triple manquement à la loi « Informatique et libertés » qui a été retenu, d’autant que le nouveau bandeau d’information ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

La Cnil a sanctionné sans passer par le RGPD
Il est intéressant de relever un point de droit habile de la part de la Cnil dans ses délibérations. En effet, l’autorité ne s’est pas fondée sur le règlement général des données personnelles (RGPD) – pourtant en vigueur au niveau européen depuis le 25 mai 2018 – mais sur la directive européenne « ePrivacy » (3), transposée à l’article 82 de la loi française « Informatique et libertés », laquelle a explicitement vocation à s’appliquer aux cookies. En effet, cette directive – ayant également servi de base légale à l’établissement des nouvelles lignes directrices (4) et recommandations (5) de la Cnil en matière de cookies – prévoit en son article 5.3 que : « Les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cet article, transposé dans des termes similaires en droit français dans la loi « Informatique et libertés », a permis à la Cnil d’éviter l’application du RGPD et de se cantonner à son droit interne.
L’intérêt est double : d’une part, l’éviction du RGPD permet une lecture plus simple des règles en matière de cookies, pour lesquelles un seul texte fait référence, à savoir la loi « Informatique et liberté ». D’autre part, l’exclusion du RGPD a permis au gendarme français des données personnelles de se considérer comme territorialement compétente pour contrôler et sanctionner les cookies déposés par Amazon et Google sur les ordinateurs des utilisateurs résidant en France. Si le RGPD avait été applicable, le principe de « guichet unique » aurait été mis en place. En pareil cas, l’autorité chef de file qui envisage de prendre une décision à l’égard de traitements transfrontaliers de données, à savoir à l’encontre d’une entreprise établie dans plusieurs Etats de l’Union européenne (UE), aurait dû se charger de coordonner la prise de décision avec les autres autorités concernées par le traitement. En d’autres termes, pour pouvoir sanctionner Amazon et Google, la Cnil aurait dû s’accorder avec tous les pays de l’UE dans lesquels les entreprises sont présentes, à savoir les Vingt-sept… Autant dire : mission impossible ! Au contraire, la Cnil a décidé de se fonder uniquement sur le droit national et sur l’article 3 de la loi « Informatique et libertés » pour juger que le dépôt de cookies a été effectué dans le cadre des activités d’Amazon France et de Google France, lesquelles sont constituées sur le territoire français. Ces sanctions, qui se veulent exemplaires (quoique relatives au regard du chiffre d’affaires de ces « GAFA »), s’expliquent par l’influence de ces sociétés sur les internautes, lesquels seraient plus 50 millions selon la Cnil à avoir été affectés par ces pratiques. Ces sanctions infligées par le gendarme français des données personnelles n’ont rien de surprenant en ce qu’elles s’inscrivent dans la droite lignée des directives prises depuis l’été 2019 relatives aux cookies, et mises à jour le 1er octobre 2020, aux termes desquelles la Cnil rappelle deux règles fondamentales visant à la protection des internautes. La première est l’information : avant une acceptation des cookies, le site internet doit informer de façon claire et synthétique la finalité poursuivie pour la collecte de ces cookies (publicité, réseaux sociaux, contenu ciblé etc.).
La seconde est un refus aussi simple qu’une acceptation : l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter. Par conséquent, si un seul clic est mis en place pour accepter les cookies, le même procédé aussi rapide doit être mis en place par les éditeurs pour pouvoir les refuser. Sur ce fondement, la Cnil dispose donc d’une série d’outils juridiques pour sanctionner les dépôts automatiques de cookies ou des comportements peu clairs des éditeurs en matière de recueil de consentement ou d’information. En complément de ces amendes administratives, la Cnil a également adopté une injonction sous astreinte à l’encontre d’Amazon et de Google, afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi « Informatique et libertés » dans un délai de trois mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront à partir de mars 2021 au paiement d’une astreinte de 100.000 euros par jour de retard. Amazon et Google ont ainsi trois mois pour mettre de nouveau à jour leur site internet et en particulier les bandeaux d’information d’accès aux différents sites.

A partir de fin mars 2021, la Cnil sévit
Gardons en mémoire qu’à la suite de la publication des lignes directrices de la Cnil et de ses recommandations le 1er octobre 2020, il a été laissé six mois – soit jusqu’à fin mars 2021 (6) – aux différents acteurs concernés, principalement les éditeurs ou hébergeurs de sites Internet, pour se conformer aux règles édictées, qui sont identiques à celles rappelées à Amazon et Google. Amazon et Google n’ont que trois mois – jusqu’à fin mars également – pour se mettre en conformité, sous peine d’une lourde astreinte en cas de défaut. Ainsi, à partir du printemps prochain, tous les éditeurs de sites Internet – gros ou petits – seront soumis en France aux mêmes règles et risques de sanction. @

Les éditeurs n’ont plus que quatre mois pour adopter la nouvelle recette de la Cnil sur les cookies

La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.

Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy

Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.

Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.

Ingrédient essentiel : le consentement
La « recette » reste inchangée : sans consentement, pas de cookies – sauf exceptions. Mais, à la suite de l’entrée en vigueur du RGPD le 25 mai 2018, les modalités d’obtention de ce consentement préalable ont été durcies. Pour que le consentement soit valide il faut désormais, selon la Cnil, que la bannière cookies permette à l’utilisateur :
D’exprimer son consentement à l’utilisation de cookies par un acte positif clair, comme par exemple cocher une case (non pré-cochée) ou cliquer sur un bouton « accepter ». Changement majeur donc : la simple poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement.
D’accepter ou refuser le dépôt de cookies avec le même degré de simplicité, via le même écran. Alors que la Cnil réclamait initialement dans son projet de recommandation une symétrie parfaite pour les boutons accepter et refuser (même niveau, même format), elle semble avoir quelque peu assoupli sa position en envisageant également d’autres modalités de refus comme par exemple un bouton « continuer sans accepter » situé sur le même écran, mais à un autre niveau. Même si la Cnil met en garde contre les pratiques trompeuses qui mettent visuellement plus en valeur un choix plutôt qu’un autre, un tel assouplissement risque néanmoins de permettre aux éditeurs d’orienter le choix des utilisateurs en adaptant le design de l’interface.
D’exprimer son choix de manière granulaire. Si l’utilisateur peut avoir la possibilité d’accepter tous les cookies en même temps (via un bouton « tout accepter » par exemple), il doit également avoir la possibilité d’exercer son choix finalité par finalité. Un bouton « personnaliser mes choix » qui se trouverait au même niveau que le bouton « tout accepter » doit lui être proposé.

Les « cookie walls » sous surveillance
Quant à la position de la Cnil sur les « cookie walls » qui consistent à subordonner la fourniture d’un service ou l’accès à un site en ligne à l’acceptation de cookies, elle était également très attendue. D’autant qu’un arrêt du Conseil d’Etat (8) avait annulé la prohibition générale et absolue d’une telle pratique initialement souhaitée par la Cnil, satisfaisant ainsi de nombreux professionnels du numérique – notamment des médias et de la publicité. Cette pratique des « cookie walls » est mise en œuvre par de nombreux éditeurs qui espèrent conduire ainsi une majorité d’utilisateurs à donner leur consentement. Si la Cnil a assoupli sa position à la suite de l’arrêt du Conseil d’Etat, elle n’en demeure pas moins réticente car elle considère que ces cookies « accepter sinon pas d’accès » sont susceptibles de porter atteinte à la liberté du consentement. Elle tire néanmoins les conséquences de l’arrêt du Conseil d’Etat en admettant une telle pratique à condition que sa licéité soit analysée au cas par cas et que l’éditeur indique clairement à l’utilisateur qu’il ne pourra accéder au contenu souhaité sans donner son consentement. On reste malgré tout loin du blanc-seing souhaité par de nombreux acteurs du marché qui ont été à l’origine d’un lobbying actif sur ce sujet…
Les éditeurs de sites web ou d’applications mobiles doivent être en mesure de démontrer à tout moment que le consentement a été valablement recueilli (9). A cette fin, la Cnil propose plusieurs moyens : mise sous séquestre du code informatique utilisé, capture d’écran, audits réguliers, conservation des informations relatives aux outils utilisés, etc. Concernant la durée de conservation du choix de l’utilisateur, la Cnil recommande de le conserver pendant une période de six mois. Un tel délai, protecteur des intérêts des utilisateurs, s’avère cependant bien contraignant pour les éditeurs qui, par exemple, ne pourront pas ressolliciter trop rapidement un utilisateur ayant refusé le dépôt de cookies. La Cnil ne s’était d’ailleurs prononcée en 2013 que sur le délai de validité du consentement qui était alors bien plus long puisqu’il pouvait aller jusqu’à treize mois. Les éditeurs pourront néanmoins prévoir une durée différente de conservation sous réserve d’être en mesure d’en expliquer les raisons. Dans un souci toujours évident de protéger les choix des utilisateurs, la Cnil précise enfin que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment aussi simplement qu’ils l’ont donné. Le moyen mis à disposition pour retirer leur consentement doit donc être aisément accessible sur toutes les pages du site web ou de l’application mobile, à travers un intitulé explicite et doit pouvoir être utilisé facilement. Sont donc proscrites les pratiques consistant à renvoyer l’utilisateur de page en page puis de lien en lien avant de lui permettre d’accéder au mécanisme de gestion des cookies.
En conclusion, si la recette de la Cnil n’a pas fondamentalement changé, elle s’est sans aucun doute complexifiée. La Cnil réaffirme ainsi sa volonté de protéger au mieux les données des utilisateurs – au risque d’impacter négativement de nombreux éditeurs et publicitaires, qui risquent de voir leurs taux de consentement chuter drastiquement. La Cnil tente néanmoins de faire preuve de pragmatisme en laissant aux éditeurs six mois pour se mettre en conformité et en essayant de leur fournir des conseils concrets et détaillés à travers ses recommandations. Cette mise en conformité ne doit cependant pas tarder car la Cnil a indiqué qu’elle ferait du respect des dispositions applicables aux cookies l’un de ses axes de contrôle pour 2021. Rappelons que l’autorité de la protection des données a la possibilité d’effectuer des contrôles en ligne et qu’elle avait sanctionné de cette manière de nombreuses sociétés en 2013 lors de la publication de ses précédentes lignes directrices. @

FOCUS
Des exemptions au consentement obligatoire très limitées
Comme auparavant, un certain nombre de cookies sont exemptés des obligations d’information et d’obtention du consentement. Il s’agit des cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. La Cnil cite plusieurs exemples de cookies concernés par l’exemption comme ceux destinés à l’authentification de l’utilisateur ou ceux permettant de garder en mémoire le contenu d’un panier d’achat. Toutefois, les utilisateurs doivent être informés de l’existence de ces traceurs, par exemple dans la politique de confidentialité. Quant aux cookies de mesure d’audience (10), ils sont désormais présentés par la Cnil comme faisant partie des cookies pouvant par principe bénéficier de l’exemption (là où en 2013 ils constituaient plutôt l’exception). Mais ce cookie de mesure d’audience doit avoir pour seule finalité… la mesure de l’audience et pour le compte exclusif de l’éditeur — donc pas de transmission des données à des tiers (11).
En pratique, les offres les plus utilisées, telles que Google Analytics ou Facebook Analytics, qui réutilisent souvent les données pour leur propre compte, ne pourront probablement pas bénéficier de l’exemption sauf à proposer des paramétrages de leurs outils spécifiques. @