Quand le recours aux cookies n’est pas toujours du gâteau…

Par deux décisions des 7 décembre 2020 (n°SAN 2020-012 et SAN 2020-013), la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné lourdement Amazon et Google pour dépôt de cookies publicitaires sans consentement préalable et sans information satisfaisante, respectivement à hauteur de 35 millions d’euros et de 100 millions d’euros.

Les deux sanctions font suite à des contrôles effectués en ligne par la CNIL, sur les sites « .fr » d’Amazon et de Google.

Lors de ces contrôles, la CNIL a observé que lors de l’accès au site web, des cookies ayant une finalité publicitaire étaient déposés sur l’ordinateur des utilisateurs, avant toute action de leur part, empêchant nécessairement ces derniers d’exprimer valablement leur consentement, en violation de l’article 82 de la Loi Informatique et Libertés.

De plus, les informations fournies aux utilisateurs n’étaient ni claires ni complètes. Soit en raison d’un bandeau d’information au contenu minimal, soit en raison de renvois peu explicites vers des informations complémentaires.

Ainsi, lorsqu’un utilisateur arrivait sur la page google.fr , un bandeau d’information s’affichait en pied de page, contenant notamment la mention suivante Rappel concernant les règles de confidentialité de Google en face de laquelle figuraient deux boutons intitulés Me le rappeler plus tard ou Consulter maintenant .


Aucune information relative au dépôt de cookies sur l’équipement terminal n’était fournie à ce stade aux personnes concernées sur ce bandeau alors même que des cookies ayant une finalité publicitaire avaient déjà été déposés sur leur terminal dès leur arrivée sur la page google.fr . La CNIL a précisé que le simple renvoi aux règles de confidentialité était loin d’être suffisamment explicite à ce stade pour permettre aux personnes lisant ce bandeau de savoir qu’une information relative aux cookies était disponible plus loin dans le parcours de navigation, pour répondre à leurs attentes en la matière et pour satisfaire aux exigences de l’article 82 de la loi informatique et libertés.


Il a encore été constaté que les règles de confidentialité qui s’ouvraient dans des fenêtres "surgissantes" lorsque les personnes cliquaient sur le bouton Consulter maintenant ne contenaient toujours aucun développement dédié à l’usage des cookies et autres traceurs, malgré une information générale relative aux données à caractère personnel traitées par les services Google.

De plus, la CNIL a également observé qu’un cookie publicitaire restait actif, même en cas d’opposition.

Dans le cas d’Amazon, l’accès au site depuis une annonce publicitaire d’un site tiers conduisait même à une absence totale d’information sur les cookies.

Pour Amazon, la CNIL a relevé que la visite d’un internaute sur le site Amazon.fr se traduit par le dépôt par une vingtaine de sociétés spécialisées dans la publicité personnalisée de cookies dont le but est de suivre sa navigation sur le web afin que lui soit affiché ultérieurement de la publicité correspondant à son comportement et que les informations susceptibles d’être collectées pour un même identifiant au moyen de ces cookies publicitaires sont par ailleurs nombreuses, variées, parfois relatives à des aspects touchant à l’intimité des personnes, et il n’est pas impossible que certaines révèlent des informations correspondant à des données sensibles (opinions religieuses, politiques, état de santé, etc. régies par l’article 9 du RGPD).

Pour prononcer ses sanctions, la CNIL a considéré que les manquements observés revêtaient une certaine gravité, en privant les personnes concernées de leur droit à l’information et de leur droit d’opposition aux cookies. Elle a également considéré que ces manquements concernaient un nombre très important de personnes (plusieurs dizaines de millions d’internautes français). Enfin, elle a tenu compte du fait que les cookies publicitaires en cause ont vocation à générer des revenus importants.

Pour l’AFCDP, l’association qui fédère les délégués à la protection des données (DPD/DPO) et les professionnels de la protection des données, « les sanctions décidées par la CNIL constituent un signal fort à l’attention des entreprises et de tous les organismes qui manipulent des données personnelles : l’application du RGPD, qui comporte des règles d’harmonisation entre les autorités de contrôle européenne, conduit désormais la CNIL à une plus grande sévérité. Au-delà de sa traditionnelle posture bienveillante d’accompagnement, la CNIL n’hésitera plus à prononcer des sanctions, et des sanctions lourdes ».

D’une manière plus générale, l’AFCDP recommande aux organismes qui traitent des données personnelles de désigner un délégué à la protection des données, même dans les cas où un DPD/DPO n’est pas rendu obligatoire par le RGPD, et de s’appuyer sur ses conseils et recommandations pour assurer la conformité des traitements, y compris des sites internet. (article M.BLUM, Dalloz actualités du 18 décembre 2020).


Le Cabinet MAESTRIA peut vous apporter conseils et recommandations en sa qualité de DPO externe : n’hésitez pas à nous contacter.



1 vue0 commentaire

©2020 par MAESTRIA, Association d'Avocats à Responsabilité Personnelle Individuelle inscrite au Barreau de CAEN et établie au Barreau de COUTANCES-AVRANCHES, SIREN 881 605 885, Siège social 17 rue Dumont d'Urville, BP  36183, 14061 CAEN Cedex 4.