L’utilisation des cookies figure parmi l’une des trois priorités de contrôle annoncées par la CNIL en 2021. L’objectif pour la CNIL est de garantir aux abonnés et utilisateurs de services en ligne un meilleur contrôle sur les cookies et traceurs en ligne.
Après avoir clarifié sa position sur le sujet dans ses lignes directrices modificatives (ci-après, les « lignes directrices ») et sa recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » (ci-après, la « recommandation »), adoptées le 17 septembre 2020, la CNIL renforce désormais ses contrôles à la suite de l’expiration du délai de mise en conformité au 31 mars 20211.
Dès le mois d’avril, La CNIL a ainsi effectué ses premières vérifications en matière de cookies sur des sites et applications mobiles. Ces contrôles ont permis de constater des manquements de la part de certains acteurs de l’économie du numérique et d’organismes publics qui ne permettent pas aux internautes de refuser les cookies aussi facilement que de les accepter dès l’accès à leur site internet ou application mobile.
Ces vérifications ont abouti à une vingtaine de mises en demeure adressées par la Présidente de la CNIL le 18 mai 20212. Les organismes visés par les mises en demeure ont un mois pour se mettre en conformité, sous peine de sanctions pécuniaires pouvant atteindre jusqu’à 2% de leur chiffre d’affaires si ce délai n’est pas respecté.
Pour rappel, en vertu de l’article 82 de la loi Informatique et Libertés, qui transpose en droit français l’article 5-3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »), les accès ou inscriptions de cookies dans le terminal d’un utilisateur de service de communications électroniques ne peuvent avoir lieu qu’à la condition que ce dernier y ait consenti après avoir reçu une information claire et complète relative aux finalités des cookies déposés et des moyens dont il dispose pour s’y opposer.
Sur la question du consentement relatif au dépôt de cookies, la position de la CNIL est désormais bien établie. Elle considère dans ses lignes directrices que, conformément à l’article 4(11) du Règlement (UE) 2°16/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »), les personnes doivent consentir au dépôt de traceurs par un acte positif clair, après avoir été informés des conséquences de leur choix.
Sur le sujet du refus du consentement relatif au dépôt de cookies, La CNIL apporte des indications utiles dans ses lignes directrices et sa recommandation adoptées récemment.
Le refus doit pouvoir se manifester de la même manière que le consentement. Selon la CNIL, l’intégration d’un bouton « tout refuser » à côté du bouton « tout accepter » au premier niveau d’information permettrait de consentir ou de refuser, en une seule action, à plusieurs finalités.
Elle ajoute que les utilisateurs peuvent aussi se voir offrir la possibilité de consentir ou de refuser le dépôt de cookies finalité par finalité en cliquant sur un bouton de paramétrage comme par exemple « personnaliser mes choix » ou « décider par finalité »3.
De plus, la CNIL considère dans ses lignes directrices que, conformément à l’article 7.3 du RGPD, il doit être aussi simple de retirer son consentement que de le donner4.
Le corollaire à l’acceptation ou au refus du dépôt de cookies est naturellement l’exigence d’une information complète, visible et mise en évidence.
Le caractère éclairé du consentement5 implique donc la nécessité de fournir les informations nécessaires sur la manière d’accepter ou de refuser les traceurs et des conséquences qui s’attachent à un refus ou une acceptation de ces traceurs.
Par exemple, en cas de mise en place de « Cookie Wall », la CNIL précise dans ses lignes directrices que l’information fournie à l’utilisateur doit clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
Par ailleurs, le refus, contrairement au consentement, peut se déduire du silence de l’utilisateur6.
Il ressort de ces considérations que la CNIL accorde autant d’importance tant aux modalités d’acceptation que de refus de dépôts de cookies qui garantissent l’exigence de libre consentement7.
Dans ce contexte de clarification et d’application de la règlementation relative aux cookies, la formation restreinte de la CNIL a infligé en décembre 2020 aux sociétés Google et Amazon des amendes de 100 millions d’euros8 et 35 millions d’euros pour leurs pratiques en matière de cookies9.
À l’occasion de ces décisions, la conformité des bandeaux d’information n’a pas été examinée conformément aux nouvelles lignes directrices et recommandation.
Cependant, l’obligation de permettre à l’utilisateur de refuser le dépôt de cookie est rappelée dans les délibérations de la CNIL. Elle relève que les informations contenues dans les bandeaux sur le moteur de recherche Google Search et sur la page d’accueil du site web Amazon.fr étaient insuffisantes et contraires aux dispositions de l’article 82 de la Loi Informatique et Libertés car elles ne faisaient pas état des moyens dont dispose l’internaute pour refuser l’inscription de cookies.
La CNIL n’hésitera pas à l’avenir à sanctionner les entreprises de l’économie du numérique qui cherchent à éliminer le risque que les cookies soient refusés afin de maximiser leur visibilité sur internet.
2 Communiqué de presse de la CNIL « Refuser les cookies doit être aussi simple que de les accepter : une vingtaine d’organismes mis en demeure », 25 mai 2021».
3 Recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs », point 27.
4 Lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs »), point 31.
5 Voir articles 4(11), 7, 13 du RGPD et article 82 de la loi « Informatique et Libertés ».
6 Voir arrêt de la Cour de justice de l’Union européenne, Planet 49 du 1er octobre 2019 (CJUE, 1er octobre 2019, C-673/17) : en l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier.
7 Voir considérant 42 du RGPD selon lequel « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »
9 Voir délibération SAN-2020-013 du 7 décembre 2020 concernant la société Amazon Europe Core.