Après une amende de 100 millions d'euros et une injonction de la Cnil, Google se conforme mieux à la législation française sur le consentement des internautes. Mais l'entreprise n'est pas encore au bout de ses peines.

C’était en décembre 2020. La Commission nationale de l’informatique et des libertés (Cnil) prononçait une amende de 100 millions d’euros contre Google (60 millions pour Google LLC et 40 millions pour Google Ireland Limited). En cause ? Le décalage entre les pratiques de l’entreprise américaine en matière de cookies et les obligations qu’elle est censée suivre pour être en conformité avec la loi française.

Aujourd’hui, les choses sont en partie rentrées dans l’ordre. Ce mardi 4 mai, l’autorité administrative indépendante a levé l’injonction sous astreinte qu’elle avait prise contre l’entreprise américaine. Elle risquait de devoir payer, en plus de l’amende, une sanction de 100 000 euros par jour de retard, si elle ne corrigeait pas ses pratiques après un délai de trois mois à compter de la notification de la Cnil.

Google informe mieux le public sur ce qu’il fait avec les cookies

L’injonction visait à contraindre Google à se mettre en conformité avec l’article 82 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Pour les non-juristes, cet article exige d’une entreprise comme Google qu’elle informe « de manière claire et complète » les internautes des usages qu’elle a des cookies, mais qu’elle renseigne le public sur les moyens à sa disposition pour s’y opposer.

Les cookies, aussi appelés témoins de connexion, sont des petits fichiers informatiques qui sont placés dans l’ordinateur via le navigateur web. Ils servent à diverses tâches, comme le suivi d’audience ou la personnalisation. Ils permettent par exemple de mémoriser un panier d’achat ou bien d’être reconnu par un site web, sans avoir besoin de se reconnecter à son compte.

À côté de ces cookies techniques, il y a des cookies conçus à des fins publicitaires. Ils permettent notamment de délivrer de la publicité ciblée aux internautes, en se basant sur ce qu’ils font sur le web. C’est pour cela que les cookies sont aussi décrits comme des traceurs. Google, compte tenu de son modèle économique (ces services sont gratuits la plupart du temps, mais financés par la publicité), y a recours.

Google bandeau cookies
Le panneau d’information de Google sur les cookies.

Presque cinq mois plus tard, la Cnil considère que Google a répondu aux exigences de l’injonction. La firme de Mountain View devait d’une part renseigner les finalités de tous les cookies soumis au consentement (dans certains cas, des cookies particuliers ne sont pas soumis au consentement des personnes, mais ce n’est pas le cas des cookies publicitaires), et d’autre part expliquer la possibilité de les refuser.

La Cnil « relève (…) que les personnes se rendant sur le site google.fr sont désormais informées, de manière claire et complète, de toutes les finalités des cookies soumis au consentement et des moyens mis à leur disposition pour les refuser, par le biais du bandeau d’information s’affichant à leur arrivée sur le site », lit-on dans la délibération du 30 avril 2021, publiée le 4 mai au Journal officiel.

Refuser les cookies doit être aussi facile que les accepter

Pour autant, Google n’est pas encore totalement tiré d’affaire avec les cookies. La Cnil fait bien comprendre que sa décision du jour ne concerne que le périmètre de l’injonction, qui se limitait à demander à Google de produire un bandeau explicatif sur sa page d’accueil en vue de dire ce que font ses cookies et de quelle façon il est possible de rejeter ceux qui sont soumis au consentement des personnes.

Ce bandeau, qui doit apparaître à l’écran avant tout dépôt de ces cookies, est-il tout à fait conforme aux exigences de la Cnil ? Tel est désormais le nouvel angle d’analyse de l’autorité administrative indépendante. Car il y a une règle que les sites doivent respecter : « l’utilisateur doit être en mesure de refuser les cookies aussi facilement qu’il peut les accepter ».

Dans le cas de la page d’accueil de Google, est-ce le cas ? C’est discutable : en effet, si sur le bandeau le bouton « Accepter » est immédiatement accessible, les options pour rejeter les cookies sont derrière le bouton « Personnaliser ». Certes, Google explique sur son bandeau que les refus peuvent être exprimés en se rendant sur « Personnaliser », mais cela requiert des clics en plus, y compris un clic ultime pour confirmer.

Le refus des cookies est possible, mais nécessite d’être attentif et de faire quelques actions en plus.

Dans la personnalisation, Google propose trois grandes rubriques — elles sont activées par défaut. il y a la personnalisation de la recherche, l’historique YouTube et la personnalisation des annonces. Cette dernière case comporte deux sous-rubriques : la personnalisation des annonces dans la recherche Google et la personnalisation des annonces sur YouTube et sur le Web.

Il s’avère que la Cnil « n’a pas examiné la conformité [de ce] bandeau d’information aux nouvelles règles en matière de cookies », qui veulent que le consentement ou le refus puissent s’exprimer aussi facilement l’un que l’autre. Dès lors, la levée de l’injonction sur la mise à jour du bandeau « ne préjuge donc pas de l’analyse de la CNIL quant à la conformité de Google à ces exigences ».

Voilà pourquoi la Commission nationale de l’informatique et des libertés déclare se laisser toute latitude pour «  contrôler ces modalités de refus et, si nécessaire, de mobiliser l’ensemble de sa chaîne répressive ». Compte tenu du poids de Google sur le web français, on doute que la firme de Mountain View y échappe. D’autant que la Cnil a justement fait du respect des règles applicables aux cookies et autres traceurs l’une de ses priorités en 2021.

Partager sur les réseaux sociaux

La suite en vidéo