C'est un record en la matière. La CNIL vient de sanctionner Google et Amazon pour avoir enfreint la loi française sur les cookies. Pour Google, la note s'élève à 100 millions d'euros. Pour Amazon, c'est 35 millions d'euros.

Ce sont des sanctions dont les montants commencent à être significatifs, même pour les géants du net. Jeudi 10 décembre 2020, la Commission nationale de l’informatique et des libertés (CNIL) a frappé un grand coup contre Google et Amazon, en leur infligeant à chacun une peine jamais vue dans ce type de dossier en France. En effet, la sanction de Google atteint 100 millions d’euros, celle d’Amazon 35 millions.

Dans un cas comme dans l’autre, c’est la législation française sur les cookies qui a été l’élément déclencheur. Les cookies, qu’on appelle aussi témoins de connexion, sont déposés dans le PC ou le smartphone par le site en cours de visite, via le navigateur web. Leur rôle est varié : ils servent par exemple à la publicité ciblée ou à reconnaître un visiteur quand il revient pour lui éviter de s’identifier à nouveau.

La CNIL déclare qu’il est reproché à Google et Amazon d’avoir d’une part effectué un dépôt de cookies sans recueil préalable du consentement de l’utilisateur — qui est un élément clé du Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018 — et d’autre part d’avoir failli à fournir des informations adéquates et suffisantes sur l’un et l’autre site à propos de la politique des cookies.

Les cookies, ce ne sont pas que des biscuits. // Lisa Fotios

Le bandeau de Google «  ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site », dit la CNIL. De plus, en cliquant sur un bouton censé donner de l’information, l’internaute n’avait droit à rien de plus. Dès lors, impossible d’être averti, au préalable, et de prendre une décision appropriée — les refuser ou les accepter.

Le son de cloche est similaire pour Amazon. « Les informations fournies n’étaient ni claires ni complètes », selon la CNIL. Le bandeau « ne contenait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés », sans précision sur leur rôle (la publicité ciblée), la possibilité de les refuser, et de quelle façon. Pire encore, ces cookies pouvaient même être déposés sur le PC sans aucune information.

Dans le cas de Google, un troisième grief a été retenu : celui de la défaillance partielle du mécanisme d’opposition pour la personnalisation de la publicité lors d’une recherche sur le moteur de recherche. Malgré l’outil de Google à cette fin, l’un de ses cookies « demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché ».

La CNIL s’impose sur ce dossier

Il est à noter que si la CNIL mobilise ici des dispositions du RGPD, le véhicule de son action s’avère être en fait la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés. Pour la CNIL, dans la mesure où les deux affaires ont trait aux opérations liées à l’usage des cookies, c’est ce texte qui s’imposait. De cette façon, elle a pu prendre la main et ne pas la laisser à ses homologues (la DPC pour l’Irlande et la CNPD pour le Luxembourg).

En effet, le RGPD prévoit un mécanisme de coopération, dit de guichet unique : par conséquent, c’est l’autorité de protection des données du pays européen dans lequel est installée la société mise en cause (Luxembourg pour les activités européennes d’Amazon, Irlande pour Google) qui prend en charge les dossiers la concernant. Or ici, la CNIL considère que ce dispositif « n’avait pas vocation à s’appliquer ».

La CNIL s’est dite à la fois « matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France » et « territorialement compétente » car le recours aux cookies vient des activités de filiales françaises, qui sont « l’établissement sur le territoire français » de ces groupes européens et « y assurent la promotion de leurs produits et services ».

Marie-Laure Denis cnil
Marie-Laure Denis, présidente de la CNIL. // Source : DR-CSA

Par ailleurs, ajoute la Commission nationale de l’informatique et des libertés, les sociétés Google LLC, Google Ireland Limited « sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies ». C’est ce qui explique notamment pourquoi la sanction de la CNIL comporte en fait deux volets : le premier, de 60 millions d’euros, vise Google LLC, et le second, de 40 millions, Google Ireland Limited.

Et maintenant ? Les deux entreprises ont la possibilité de combattre ces sanctions en formant un recours auprès du Conseil d’État, la plus haute juridiction française de l’ordre administratif. Google avait déjà fait un appel de ce type l’an dernier, après s’être vu infliger une sanction de 50 millions d’euros. Sans succès toutefois, car l’institution avait validé la peine quelques mois plus tard.

De son côté, la CNIL exige qu’Amazon et Google se conforment à la loi dans un délai de trois mois. En clair, les bandeaux d’information doivent être mis à jour pour respecter les dispositions de l’article 82 de la loi Informatique et Libertés. Dans le cas contraire, les deux sociétés s’exposent chacune à une astreinte de 100 000 euros par jour de retard. Toute procrastination en la matière pourrait coûter très cher.

Google et Amazon protestent

Dans une réaction adressée à la rédaction, Amazon déclare être « en désaccord avec la décision de la CNIL. La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons ».

Le son de cloche chez Google n’est pas différent.

« Les utilisateurs de Google s’attendent à ce que nous respections leur vie privée, qu’ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles », déclare le groupe.

Et d’ajouter : « La décision rendue par la CNIL en matière de ePrivacy fait l’impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d’apporter des améliorations sur nos produits et services ».

(mise à jour avec les réactions d’Amazon et de Google)

Partager sur les réseaux sociaux

La suite en vidéo