La CNIL a procédé à des contrôles des procédures de recueil du consentement relatif aux mises en place de Cookies par Google et YouTube. Elle a ainsi constaté, au cours de ses investigations, qu’il était plus difficile de refuser les cookies que de les accepter.
À cet égard, la CNIL avait rappelé en décembre dernier, après avoir mis en demeure 90 acteurs de divers secteurs, qu’il devait selon sa doctrine être aussi facile pour les personnes concernées d’accepter les cookies que de les refuser.
Pour chacune de ces entreprises, plusieurs clics étaient nécessaires pour refuser les cookies, contre un seul pour les accepter.
En conséquence, la formation restreinte de la CNIL a considéré que les modalités de recueil du consentement des utilisateurs et l’absence de clarté de l’information fournie constituaient une violation de l’article 82 de la Loi Informatique et Libertés. Le 31 décembre 2021, la CNIL a donc prononcé une amende d’un montant de 150 millions d’euros à l’encontre de Google (90 millions d’euros pour la société Google LLC et 60 millions pour la société Google Ireland Limited) et d’un montant de 60 millions d’euros à l’encontre de Facebook.
La CNIL a justifié le montant de ces sanctions par le nombre de personnes concernées et par les bénéfices tirés par ces sociétés des revenus publicitaires générés à partir des données collectées par les cookies. Elle a également indiqué avoir communiqué à de nombreuses reprises sur les règles relatives au refus des cookies.
En outre, la CNIL a enjoint ces sociétés, sous astreinte de 100.000 euros par jour de retard à l’issue d’un délai de 3 mois à compter de la notification de la décision, de mettre à disposition des internautes situés en France un moyen de refuser les cookies qui soit aussi simple que de les accepter.
Pour rappel, ces sanctions s’inscrivent dans une politique de mise en conformité relative à la règlementation sur les cookies, initiée par la CNIL en France mais également portée par les centaines de plaintes déposées par l’association NOYB (None of Your Business) auprès des différentes autorités européennes de protection des données en 2021.
Il reste à savoir si cette symétrie exigée par la CNIL quant à l’acceptation et au refus des cookies ne va pas au-delà de ce qui est requis par les textes.
