CNIL: Refuser les cookies doit être aussi simple que de les accepter

Les grandes plateformes en ligne continuent d’être au centre de l’intérêt des régulateurs français. En particulier dans les cas où une action ou un comportement a le potentiel de violer les droits des utilisateurs.

Cette fois, deux grands acteurs ont violé une responsabilité clé des plateformes en ligne liée aux cookies. Avant de présenter en détail les sanctions, petite introduction sur les cookies.

Inventé en 1994, un cookie ou le témoin de connexion est un texte contenant une suite arbitraire de paires clé-valeur. Il permet aux sites web de suivre les internautes lorsqu’ils passent d’une page à l’autre du site, voire lorsqu’ils reviennent quelques jours plus tard dans le cas des cookies enregistrés sur le terminal du visiteur. Les cookies sont notamment utilisés pour identifier la session d’un internaute connecté à son compte informatique.

En d’autres termes, les cookies permettent à la plateforme d’obtenir des informations sur les internautes. Toutefois, les internautes doivent préalablement donner leur consentement. La question qui s’est posée est que refuser ces cookies doit être aussi simple que son autorisation.

La CNIL a reçu plusieurs plaintes dénonçant les modalités de refus des cookies sur les sites web google.fr, youtube.com et facebook.com.

La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a constaté, à la suite de contrôles, que les sites web facebook.com, google.fr et youtube.com proposent un bouton permettant d’accepter immédiatement les cookies. En revanche, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter.

Pour google.fr, youtube.com, en juin 2021, la CNIL a effectué un contrôle en ligne sur ces sites et en conséquence, il a été constaté que, si les utilisateurs peuvent accepter immédiatement les cookies, les sites ne mettent pas en place de solution équivalente qui serait tout aussi simple (bouton ou autre) de refuser les cookies que. Le processus comprend plusieurs clics pour refuser tous les cookies. Au contraire, un seul clic suffit pour les accepter.

Pour facebook.com, en avril 2021, la CNIL a effectué un contrôle similaire et le résultat était tout aussi insatisfaisant. Cette fois, la CNIL a également relevé que le bouton destiné à refuser les cookies se situe en bas de la deuxième fenêtre et s’intitule « Accepter les cookies ».

La formation restreinte a considéré que les modalités de recueil de consentement qui sont proposées aux utilisateurs ainsi que l’absence de clarté de l’information qui leur est fournie constituent des violations de l’article 82 de la loi Informatique et Libertés qui vise que:

“Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.”.

Du fait de ce manquement, la formation restreinte de la CNIL a prononcé :

  • deux amendes d’un montant total de 150 millions d’euros à l’encontre de GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED) ;
  • une amende de 60 millions d’euros à l’encontre de la société FACEBOOK IRELAND LIMITED.

En complément des amendes, la formation restreinte a enjoint aux sociétés de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen permettant de refuser les cookies aussi simplement que ceux existant pour les accepter, afin de garantir la liberté de leur consentement. À défaut, les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard. 

Il faut suivre l’actualité pour comprendre le comportement que les sites ont finalement adopté.

Source de l’image: https://images.ctfassets.net/j8llxzq0d56y/4V8dj5xTOoOIWaCUuIU0wy/e9895727f68caa8f492074a6d0c08709/fat-Cookies.png