Sanctions records pour Google et Facebook ! La CNIL a infligé une amende de 150 millions d’euros à Google et 60 millions d’euros à Facebook au motif que leur site ne permettent pas de refuser les cookies aussi simplement que de les accepter.

Zoom sur cette décision unique.

Quels sont les faits ?

L’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) au printemps 2018 devait permettre aux utilisateurs du web d’avoir le contrôle sur le recueil et l’utilisation de leurs données personnelles. Plusieurs obligations et règles contraignantes pèsent depuis sur les propriétaires de sites Internet, qu’ils soient petits ou grands, e-commerçants ou non. Dès lors que des données personnelles sont captées sur un site par un formulaire de contact par exemple, les principes du RGPD s’appliquent.

La CNIL est l’organe régulateur du règlement européen pour la France. 

L’un de cheval de bataille de la CNIL est la possibilité, lors de la navigation sur des sites web, de pouvoir accepter et refuser facilement le dépôt des cookies. 

Que sont les cookies ? Ce sont de petits fichiers informatiques installés sur les sites qui servent notamment à enregistrer l’activité des visiteurs à des fins publicitaires.

La CNIL exige que chaque site web possède une page d’explication des cookies, leur rôle sur le site, ce qu’ils capturent de nos navigations, pour quelles raisons et comment nous pouvons nous y opposer.
Nous, en tant qu’utilisateurs, devons pouvoir accepter ces cookies mais également les refuser.

Dans les faits, les fenêtres pop-up se multiplient sur les sites et s’il est simple souvent d’accepter les cookies, les refuser est parfois une gageure.

Lors de ses contrôles réguliers, la CNIL a remarqué que les sites facebook.com et  google.fr ne proposaient pas de boutons permettant de refuser directement les cookies, alors que leur acceptation se fait en un clic.

Plusieurs actions consécutives sont nécessaires pour refuser les cookies. Cela porte atteinte à la liberté de consentement de l’utilisateur. La CNIL considère qu’il s’agit d’une violation de l’article 82 de la loi Informatique et Libertés.
Ce texte précise que l’utilisateur “doit être informé de manière claire et complète (…) des moyens dont il dispose pour s’y opposer”.

En complément des amendes infligées, la CNIL a enjoint à Facebook et Google de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen simple pour refuser les cookies. À défaut de se mettre en conformité, les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard.

Les réactions de Google et Facebook

Google s’est engagé à “mettre en place de nouveaux changements, ainsi qu’à travailler activement avec la CNIL en réponse à sa décision”. 

Facebook quant à lui, “est en train d’examiner la décision” et assure qu’il “continuera à développer et améliorer” les contrôles du consentement aux cookies. 

A noter que la CNIL avait déjà épinglé en décembre 2020 Google pour utilisation abusive des cookies. Elle lui avait infligé une amende de 100 millions d’euros. En 2019, la CNIL infligeait également une amende à Google pour sa non-conformité vis-à-vis de la règlementation RGPD.

Il semble que ces premiers avertissements n‘aient pas suffi … 

A voir si ces nouvelles sanctions seront suffisamment contraignantes.