Le 19 décembre 2022, la formation restreinte de la Cnil a rendu une nouvelle décision de condamnation pour non-respect de la législation Informatique et libertés, s’agissant du recueil du consentement de l’internaute au dépôt de cookies.
L’obligation de recueil du consentement rappelée
La Cnil a condamné la société Microsoft Ireland Operations, domiciliée en Irlande et qualifiée de responsable de traitement du moteur de recherche « bing.com » à une amende de 60 millions d’euros.
En l’espèce, la Cnil avait effectué une série de contrôles du site internet « bing.com » en septembre 2020 et mai 2021. Elle avait alors constaté des anomalies :
- d’une part, un dépôt de cookies sans recueil du consentement préalable de l’internaute ;
- d’autre part, l’absence de mécanisme simple qui encadre le refus de dépôt de cookies.
Des fichiers stockés étaient automatiquement déposés sur le terminal de l’utilisateur (par exemple un téléphone ou encore un ordinateur) alors qu’aucun consentement n’avait été recueilli. Cette absence de consentement concernait des cookies :
- qui poursuivaient un but publicitaire, et
- dont par conséquent, la qualification obligeait de facto à :
- un recueil de consentement de l’internaute et
- une impossibilité de pouvoir bénéficier d’une exemption de recueil.
La violation de l’article 82 de la loi Informatique et libertés n’est pas discutable sur ce point.
L’obligation de recueil du consentement de l’internaute est constamment rappelée par l’autorité administrative française. A titre illustratif, les délibérations du 31 décembre 2021 concernant les sociétés Google LLC et Google Irlande condamnées à hauteur de 150 millions d’euros (90 millions et 60 millions respectivement) ainsi que Facebook à hauteur de 60 millions d’euros sont des exemples notables.
La Cnil rappelle que toutes ces décisions s’inscrivent dans le cadre de sa stratégie globale de mise en conformité initiée :
- « auprès d’acteurs français et étrangers éditant des sites à forte fréquentation et ayant des pratiques contraires à la législation sur les cookies ».
Le processus de recueil du consentement confirmé
Mais le point le plus intéressant de cette délibération du 19 décembre réside dans la précision des conditions du recueil. Il ressort des contrôles que le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies. C’est-à-dire, une sorte de validation directe et immédiate. Alors qu’aucun bouton analogue permettant de s’opposer aux cookies, n’offrait une possibilité expresse de refuser ce type de fichiers.
La Cnil a jugé trop complexe le mécanisme mis en place pour s’opposer aux cookies. En l’occurrence : l’absence d’exprimer directement un refus et la nécessité de réaliser deux clics sur le site pour l’exprimer. Ce mécanisme a pour conséquence de décourager les internautes de refuser les cookies. Il les incite au contraire à accepter de fait ces cookies.
Il en résulte une atteinte à la liberté du consentement de l’utilisateur, puisque « la formation restreinte a conclu que les conditions de recueil de consentement qui étaient proposées aux utilisateurs jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, constituaient une violation de la loi ».
La Cnil justifie sa condamnation sur la complexité du mécanisme d’opposition à l’acceptation de cookies. Elle cite une de ses recommandations du 17 septembre 2020 pour justifier son raisonnement, qui précise que « la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement ». Le critère de la facilité des mécanismes est clairement énoncé par la Cnil .
Ce critère était déjà mis en œuvre dans les décisions de condamnation des sociétés Google et Facebook, mais la motivation de la Cnil s’étoffe de plus en plus au fur et à mesure des délibérations de condamnation prononcées, même si les modalités de recueil du consentement restent inchangées.
A la lecture de cette délibération du 19 décembre, la Cnil laisse penser qu’en plus du critère de facilité qu’elle applique pour vérifier la possibilité donnée à l’internaute de refuser le dépôt de cookies ;un critère de célérité du processus semble peu à peu émerger, comme en témoigne son considérant 73 dans lequel elle réitère que la navigation sur Internet se caractérise par sa rapidité et sa fluidité.
A suivre…
Y a-t-il eu absence de consentement de l’internaute du fait d’un double clic ? La réalisation de deux clics rallonge certes le mécanisme du consentement mais ne le rend pas pour autant plus complexe.
On pourra relever que la recommandation du 17 septembre 2020 précise que les finalités de ces traceurs doivent être :
- présentées aux internautes en amont du consentement donné ou du refus opposé et
- formulées de manière intelligible, dans un langage adapté et suffisamment clair pour que les utilisateurs comprennent la portée du consentement.
L’importance est donc que l’information qui accompagne chaque élément et qui permet l’expression d’un consentement ou l’opposition soit
- aisément compréhensible et
- n’impose pas à l’internaute un effort de concentration trop important.
Sur ce plan, la réalisation de deux clics est parfaitement compréhensible de l’internaute.
Si l’on analyse de manière croisée la loi Informatique et libertés et cette recommandation de 2020, on constatera que la Cnil n’a, à vrai dire, jamais imposé une identité des mécanismes d’expression du consentement et de refus. Des mécanismes peuvent en effet être différents dès lors qu’ils sont tous deux similaires (1).
Cette décision s’inscrit dans un mouvement croissant de condamnation des Gafam mené par Bruxelles (2). En témoigne la récente condamnation de la Cnil du 29 décembre 2022, qui a sanctionné les sociétés Tik Tok Irlande et UK à hauteur de 2,5 millions d’euros chacune, du fait notamment que le mécanisme de refus de dépôt de cookies était plus complexe que le mécanisme permettant leur acceptation
L’Union européenne mène aussi un combat pour la protection des données personnelles à travers ses outils de régulation tels que :
- la directive ePrivacy de 2002 pour la problématique du consentement au dépôt de cookies,
- et plus largement le RGPD
Le CEPD (Comité européen de la protection des données) vient justement d’adopter le 17 janvier 2023 le rapport final de la « task force » dédiée aux bannières cookies. Il résume et synthétise les conclusions du groupe de travail chargé de coordonner les réponses aux questions soulevées par les plaintes de l’association NOYB. En plus de la question du design du bandeau cookies qui ne doit pas être trompeur pour l’internaute, l’absence de toute option de refus au dépôt de cookies au même niveau que l’option d’acceptation constitue un manquement à la législation européenne
Benoit de Roquefeuil
Hugo Durand
Lexing contentieux informatique
Notes
(1) Voir notre ouvrage, Alain Bensoussan, Céline Avignon, Cookies, traceurs et droit, Lexing Éditions, Juin 2022.
(2) Hayat Gazzane, « Les 5 plus grosses amendes infligées par l’UE aux Gafam », Les Echos.fr, le 10 novembre 2021.