Consentement aux cookies : nouvelles sanctions de la CNIL

La CNIL attaque très fort l’année 2022 en prononçant, dès le 6 janvier des amendes à hauteur de 150 millions d’euros pour Google et de 60 millions d’euros pour Facebook. Les deux géants du web ont été épinglés pour n’avoir pas respecté un principe phare en matière de protection du consentement des internautes : « refuser les cookies doit être aussi simple qu’accepter ». 

– Rappel de la réglementation sur les cookies 


Nous avons déjà eu l’occasion de présenter dans une publication antérieure. On rappellera seulement que les cookies sont encadrés par différents textes, dont notamment la Directive 2002/58/CE, du 12 juillet 2002 dite « ePrivacy » (art. 5) et concernant le droit interne, la Loi informatique et libertés, (art. 82). 

Ainsi, tout internaute doit être informé de manière claire et complète de la finalité de toute action tendant à accéder à ou à inscrire des informations sur son équipement, et des moyens dont il dispose pour s’y opposer. En tout état de cause, l’accès ou l’inscription de ces informations ne peut être réalisé qu’avec le consentement de l’internaute. Enfin, l’internaute doit pouvoir retirer son consentement à tout moment aussi simplement qu’il la accordé.

Il existe deux exceptions notables : si l’accès aux informations stockées ou leur inscription a pour finalité exclusive de permettre ou faciliter la navigation ou si elle est strictement nécessaire à l’utilisation du service en ligne à la demande expresse de l’utilisateur. 

– La conformité des bannières d’acceptation des cookies

Afin de se conformer à ces exigences, et principalement sous la menace de sanctions de la CNIL, la plupart des acteurs du web – des plus petits au plus grands – utilisent des bannières qui s’affichent dès la consultation de la première page d’un site web. Les internautes sont aujourd’hui confrontés à cette contrainte quotidiennement. 

Toutefois, les pratiques des sites web ne sont pas toutes les mêmes et si de nombreux acteurs se sont parfaitement conformés aux exigences, il en reste encore beaucoup pour qui il est encore compliqué d’admettre que les données personnelles des internautes ne peuvent être librement exploitées.

Pour aider les différents acteurs du web à se conformer à ces textes, la CNIL a élaboré un certain nombre d’outils : des lignes directrices et des recommandations. Le tout est synthétisé par une idée-force : « refuser les cookies doit être aussi simple qu’accepter », sur laquelle s’appuie fréquemment la CNIL pour communiquer.

Pour l’essentiel, il est recommandé qu’une bannière s’affiche dès la 1ère consultation d’un site web. Cette bannière doit énoncer les finalités prévues et offrir ensuite à l’utilisateur plusieurs options comme « tout refuser » (aucun cookie n’est installé) ; «  tout accepter » (tous les cookies s’installent) ; et « personnaliser mes choix » (l’utilisateur peut choisir les cookies qu’il accepte, quels autres il refuse). 

– Les manquements constatés sur les sites appartenant à Alphabet et Meta Platforms

Une telle méthode n’est pourtant pas du goût de tous les acteurs du web car elle met en difficulté le modèle économique de certains d’entre eux, reposant sur la collecte de données et la publicité personnalisée. Ainsi, tout en prévoyant des bannières de consentement, afin d’éviter d’alerter trop rapidement la CNIL, ils ont tenté de les rendre conformes à leurs propres intérêts c’est-à-dire en orientant le choix (on n’ose pas dire « consentement ») de l’internaute, afin qu’il autorise le plus souvent possible le dépôt et l’exploitation de cookies.

C’est la pratique choisie par exemple par Alphabet pour les sites google.fr et YouTube.com, et par la société Meta Plaforms pour son site facebook.com : si l’utilisateur peut accepter les cookies en cliquant sur un bouton spécialement dédié, il ne lui est en revanche pas possible de faire de même pour refuser. Il faut, pour y parvenir, suivre un parcours dédié pas toujours très clair au demeurant et cliquer à plusieurs reprises sur des options différentes pour, finalement, pouvoir refuser les cookies. De quoi en décourager plus d’un alors que la consultation de sites web est sensée être fluide et rapide. 

– Des sanctions lourdes, assorties d’injonctions avec astreinte


Cette  façon de procéder, non conforme à la législation et aux lignes directrices, est donc sanctionnée. Pour prononcer les sanctions précitées, la CNIL a pris en compte : la gravité du manquement ; le nombre de visiteurs des sites web concernés, la connaissance des sociétés des manquements occasionnés (pour Google seulement), d’une mauvaise coopération avec la CNIL (pour Google seulement), des bénéficies réalisés grâce à la publicité personnalisée, et leur place incontournable et leur capacité financière 

En complément de ces amendes administratives, les géants du web disposent désormais d’un délai de 3 mois pour se conformer et mettre en place un moyen permettant aux internautes de refuser les cookies aussi simplement qu’ils peuvent les accepter. Une astreinte de 100 000 euros par jour de retard assorti cette injonction.  Rendez-vous est pris…

– D’autres pratiques déloyales restant à analyser 

La question des cookies est loin de se tarir, même avec les contrôles particulièrement denses auxquels se livre la CNIL depuis mars 2021. En effet, on observe aujourd’hui d’autres pratiques, qui mériteront l’analyse.

Beaucoup de sites se sont conformés aux recommandations de la CNIL et ont choisi d’installer des bannières comportant les onglets requis : « Accepter tous les cookies » / « personnaliser mes choix » et parfois pour aller plus vite une petite phrase : « tout refuser et accéder au site » ou « continuer sans accepter », toujours au même droit, généralement en haut à droite, ou tout en bas à gauche. Cette solution de sortie rapide de la bannière est très prisée. 

A force de consulter le même site web, l’internaute confiant et toujours un peu pressé prend alors l’habitude de cliquer sur cette petite phrase, pour tout refuser et consulter le site web rapidement. 

Or, quelques temps après, on a vu certains sites web modifier très légèrement leurs bannières et remplacer un mot de leur phrase « tout refuser et accéder au site » pour formuler l’exacte inverse : « tout accepter et accéder au site ». Le refus total est alors relégué en fin de bannière et sans mise en évidence particulière du changement réalisé, parfois même visible seulement après  avoir scrollé la page. Il n’est donc pas rare que les internautes habitués du site cliquent par réflexe sur l’onglet les faisant accepter alors qu’ils étaient en leur for intérieur, en train de les refuser. 

On peut soutenir ici sans discussion possible que le consentement a été extorqué : c’est seulement grâce à une manoeuvre déloyale que l’internaute a cliqué sur l’onglet d’acceptation. Cela n’est pas conforme à la législation sur les cookies. En effet, le consentement doit être une manifestation de volonté, libre spécifique, univoque et éclairé. Or dans un tel cas, le fait de cliquer n’est pas la traduction d’un consentement éclairé, mais seulement le résultat d’une tromperie et de l’absence d’avertissement sur le changement d’organisation de la bannière. 

Il y a ici une manoeuvre déloyale qui a certainement permis de stocker des cookies et d’accéder à des informations, sans qu’il y ait eu un véritable accord de l’internaute. On ne serait donc pas surpris que ce point soit l’objet d’attention de la part de la CNIL dans les prochains mois. 

La mise en conformité d’un site web aux différentes dispositions légales et réglementaires peut être délicate, que ce soit s’agissant de la politique de cookies ou plus généralement de collecte des données personnelles, sans compter toutes les autres contraintes relevant du commerce électronique. N’hésitez pas à nous contacter pour toute question à sujet !