Cookies déposés sans consentement, la CNIL sanctionne lourdement Amazon et Google

Ce jeudi 10 septembre, la Commission Nationale Informatique et Libertés (CNIL) a publié sur son site Internet les sanctions prises en début de semaine à l’encontre des géants Amazon  et Google

En cause dans les deux affaires : le non-respect par les entreprises du cadre légal français (et européen) d’utilisation des cookies et traceurs sur Internet. 

A noter que dans les deux affaires la CNIL préfère se fonder sur la Loi Informatique et Libertés (notamment son article 82) et la Directive E-privacy plutôt que sur le Règlement Général sur la Protection des Données (RGPD) afin d’être territorialement compétente en la matière. 

AMAZON

Amazon est sanctionné par la formation restreinte de la CNIL à hauteur de 35 millions d’euros, après des contrôles sur Internet puis sur place, pour deux manquements à la Loi Informatique et Libertés (qui sont aussi des manquements à la directive E-privacy, transposée dans la Loi Informatique et Libertés, et au RGPD). 

  • Le défaut d’information des utilisateurs

La CNIL a remarqué que les informations fournies par le bandeau cookies du site français d’Amazon étaient incomplètes : il était trop général (aucune indication concernant les finalités du traitement des cookies) et ne donnait aucune précision aux utilisateurs sur les moyens de s’opposer aux cookies. 

Ce défaut était encore plus prononcé dans le cas où un utilisateur accédait au site français d’Amazon après avoir cliqué sur une annonce publicitaire d’un autre site puisque à ce moment là, le bandeau cookies n’apparaît même pas. 

  • Le défaut de récolte du consentement

La CNIL a noté que les cookies étaient installés directement lorsque l’utilisateur se rendait sur le site français d’Amazon, avant même que celui-ci ne soit en mesure de donner son consentement (le bandeau cookies ne permettaient par ailleurs pas à l’utilisateur de donner son consentement libre et éclairé). 

GOOGLE

Google est sanctionné par la formation restreinte de la CNIL à hauteur de 100 millions d’euros (au total), après des contrôles en ligne, pour plusieurs manquements à la Loi Informatique et Libertés (qui sont tout autant des manquements à la directive E-privacy, transposée dans la Loi Informatique et Libertés, et au RGPD). 

  • Dépôt des cookies sans consentement préalable

Il est obligatoire de recueillir le consentement de l’utilisateur avant de déposer sur son terminal (téléphone, ordinateur, tablette, …) des cookies ou traceurs dès lors que ceux-ci ne sont pas nécessaires à la fourniture du service poursuivi. 

Lors d’une connexion au moteur de recherche google.fr, ce dernier déposait automatiquement sur le terminal de l’utilisateur des cookies de nature publicitaires, n’étant donc pas strictement nécessaires à la fourniture du service de recherche sur Internet. 

  • Le défaut d’information des utilisateurs

Comme pour Amazon, l’un des manquements constatés par la CNIL est un défaut dans l’information des utilisateurs quant aux cookies : le bandeau ne prévoit pas de modalités d’acceptation ou de refus des cookies, ni n’informe les utilisateurs des cookies déjà déposés. 

  • La défaillance du mécanisme d’opposition

Le dernier manquement constaté concerne le mécanisme de désactivation des cookies installés. 

En effet, même si l’utilisateur, plutôt que de s’arrêter au pavé de Google l’informant de l’existence des cookies, décidait d’aller plus loin en cliquant sur les liens mis à sa disposition et désactivait certains cookies, il semble qu’un cookie résistait inexorablement et continuait donc de récolter des informations malgré l’opposition de l’utilisation. 

UN MONTANT HISTORIQUE

Ces nouvelles sanctions de la CNIL dépassent l’ancien montant record, aussi prononcé à l’encontre de Google, de 50 millions d’euros pour un défaut dans les informations qu’il fournissait aux utilisateurs. 

LES DELIBERATIONS DE LA CNIL EN MATIERE DE COOKIES

Pour rappel, le cadre légal français des cookies et autres traceurs est fondé sur la directive E-privacy, transposée en droit français dans la Loi Informatique et Libertés, mais aussi sur le RGPD et les diverses recommandations et lignes directrices de la CNIL en la matière, dont les dernières en date ont été adoptées le 17 septembre 2020