Flash Data

Briefing

Cookies : Google et Facebook sanctionnées par la CNIL

La CNIL a publié deux décisions datées du 31 décembre 2021 dans lesquelles elle sanctionne, d’une part, les sociétés Google LLC et Google Ireland Limited, et d’autre part, la société Facebook Ireland Limited, pour non-respect de la règlementation applicable en matière de cookies.

Les amendes imposées par la CNIL sont respectivement de 150 millions d’euros pour Google et 60 millions d’euros pour Facebook. En complément des amendes administratives, la formation restreinte a également enjoint les sociétés de corriger le manquement constaté dans un délai de 3 mois. L’injonction est assortie d’une astreinte de 100 000 euros par jour de retard à l’issue de ce délai.

Ces décisions s’inscrivent dans la démarche initiée par la CNIL dès 2020 et visant à contrôler avec plus de rigueur le respect de la règlementation applicable en matière de cookies. En mars 2021, la CNIL annonçait à nouveau qu’elle ferait du respect des obligations en matière de ciblage publicitaire et de profilage des internautes une priorité dans le cadre de sa stratégie de contrôle.

Depuis le 1er avril 2021, date à laquelle le délai accordé aux entreprises pour se conformer à ses nouvelles lignes directrices en la matière expirait, elle a procédé à de nombreux contrôles et mis en demeure une soixantaine de sociétés pour des agissements similaires à ceux visés dans les décisions rendues contre Google et Facebook.

Pourquoi Google et Facebook ont-elles été sanctionnées ?

Conformément à l’article 82 de la loi Informatique et libertés, qui transpose la directive E-privacy, le dépôt de cookies sur le terminal d’un utilisateur nécessite son consentement préalable (sauf pour certains cookies dits « essentiels »).

En juillet 2019, puis en septembre 2020, la CNIL a publié de nouvelles recommandations en matière de cookies. La CNIL y détaille notamment les conditions dans lesquelles les éditeurs de sites web doivent procéder afin d’obtenir un consentement valide de leurs utilisateurs au dépôt de cookies. Elle rappelle notamment que le consentement doit être libre, ce qui implique qu’il doit être aussi facile pour un utilisateur d’accepter le dépôt de cookies que de le refuser.

Ainsi, si le bandeau cookies d’un site web offre la possibilité à l’utilisateur de consentir de manière globale au dépôt de tous les cookies (via la mise en place d’un bouton « accepter tous les cookies »), il doit également permettre de refuser de manière aussi aisée le dépôt de tous les cookies (avec un bouton équivalent « refuser tous les cookies »). Or, sur les sites google.fr, youtube.com et facebook.fr, l’utilisateur doit effectuer plusieurs actions afin de pouvoir refuser le dépôt de cookies alors qu’il peut les accepter en un seul clic dès son arrivée sur la page d’accueil des sites concernés.

Le point sur les sanctions

Avec ces deux décisions, la CNIL frappe fort et inflige une nouvelle amende record (150 millions d’euros pour Google). S’agissant de la détermination des montants des amendes, la CNIL tient notamment compte :

du nombre de personnes impactées par le manquement constaté (résultant notamment de la position dominante de Facebook et Google sur leur marché respectif).
des avantages financiers obtenus du fait du manquement : le fait de rendre le refus des cookies plus complexe augmente la part des utilisateurs auprès desquels les cookies publicitaires sont susceptibles d’être déposés et accroit donc le volume des revenus publicitaires générés par le profilage auquel ces cookies participent.
de la communication massive autour de ses nouvelles recommandations sur les cookies que Google et Facebook ne pouvaient ignorer. S’agissant plus particulièrement de Google, elle retient une violation « délibérée » de la règlementation alors que dans le cadre du suivi de l’injonction prononcée à son encontre dans sa précédente décision, la CNIL avait déjà alerté Google sur les actions attendues s’agissant des modalités de refus au dépôt des cookies sur ses sites.