150 millions d’euros pour Google et 60 millions d’euros pour Facebook. La Cnil inflige des amendes conséquentes contre les deux entreprises américaines pour avoir enfreint les règles sur les cookies.

L’année commence bien mal pour Google et Facebook. En ce 6 janvier 2022, la Commission nationale de l’informatique et des libertés (Cnil) vient d’annoncer, comme révélé par Politico la veille, avoir infligé aux deux poids lourds du net des amendes de plusieurs dizaines de millions d’euros. En cause : la façon dont les deux entreprises mettent des bâtons dans les roues des internautes pour les pousser à accepter les cookies.

En informatique, les cookies, aussi appelés témoins de connexion, sont des fichiers qui sont déposés sur l’ordinateur ou le smartphone de l’internaute, par le site qu’il visite, via son navigateur web. Leur rôle est varié : ils peuvent servir au suivi d’audience ou à de la personnalisation (par exemple demander à appliquer le thème sombre d’un site, à la place du clair).

Il y a aussi des cookies publicitaires, qui visent à afficher de la publicité ciblée. Cette orientation fait que ces témoins de connexion, dans ce cas-là, sont décrits comme des traceurs. Ces cookies sont plus contestés que ceux qui servent à maintenir la connexion à un site. Les cookies doivent recevoir le consentement du public avant d’être déposés sur le PC (sauf cas particulier, hors publicité).

Refuser doit être aussi facile que d’accepter

Mais il y a aussi une autre règle que la Cnil s’échine à faire appliquer : les cookies doivent pouvoir être refusés aussi facilement que de les accepter. C’est une bataille dans laquelle l’institution chargée de veiller à la bonne application du Règlement général sur la protection des données (RGPD) et du ePrivacy s’est lancée depuis maintenant des mois, avec plusieurs points d’étape réguliers.

Dans les grandes lignes, il faut que les bandeaux qui surgissent lors de la première visite d’un internaute mettent sur un même pied d’égalité les boutons « Accepter » et « Refuser » quand on lui demande s’il veut ou non des cookies — bien sûr, il faut aussi que les bandeaux indiquent quelles sont les finalités de ces fichiers, c’est-à-dire à quoi vont-ils servir.

Or, c’est justement ici que le bât blesse. La Cnil, après avoir reçu plusieurs plaintes au sujet des modalités de refus des cookies sur les sites appartenant à Facebook (facebook.com) et Google (google.fr et youtube.com), a constaté directement en ligne (c’est-à-dire en simulant la visite d’un internaute lambda) qu’il y a en effet un écart entre les deux boutons.

Google bandeau cookies
On a un bouton de validation et ensuite ça se complique.

Google et Facebook « ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter », observe la Cnil. C’est pour elle une conception orientée, qui pousse les internautes dans une direction plutôt qu’une autre.

« Sur Internet, l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’on peut les accepter biaise son choix en faveur du consentement », commente l’institution. C’est dès lors une atteinte à la liberté du consentement et, par conséquent, une infraction à l’article 82 de la loi Informatique et Libertés.

Dans ces conditions, au regard de l’importance qu’ont Google et Facebook sur le net français et de leur surface économique considérable, la Cnil a retenu des sanctions dont le montant est le suivant : 150 millions d’euros pour Google (sachant que Google a déjà été condamné fin 2020 à une amende 100 millions d’euros toujours au sujet des cookies) et 60 millions d’euros pour Facebook.

Ces montants seront perçus diversement : dans l’absolu, ce sont des peines très élevées, mais qui, au regard des sommes immenses que brassent des entreprises comme Google et Facebook, ne représentent sans doute que quelques minutes ou quelques heures de leur chiffre d’affaires. Cela dit, il n’en demeure pas moins que ces sanctions se remarquent maintenant davantage, y compris par les géants du net, que du temps où la Cnil ne pouvait pas prononcer de sanction supérieure à… 150 000 euros.

Pour qui suit de près ces sujets, on s’attendait à ce que Google traverse encore une séquence difficile avec la Cnil. C’est ce que nous expliquions en mai 2021 lorsque nous prévenions que la firme de Mountain View n’était pas encore sortie d’affaire après sa condamnation de 100 millions d’euros prononcée par la Cnil. Si depuis, Google informe mieux le public sur ce qu’il fait avec les cookies, il restait à vérifier si la règle qui dit que refuser les cookies doit être aussi facile que de les accepter était bien appliquée.

Et maintenant ?

Et maintenant ? Cela dépendra en partie de ce que décideront Google et Facebook. Les deux entreprises ont la possibilité de combattre ces deux amendes en formant un recours devant le Conseil d’État, la plus haute juridiction française de l’ordre administratif. Google avait déjà fait un appel de ce type en 2019, après s’être vu infliger une sanction de 50 millions d’euros, mais cela avait tourné court : l’institution avait finalement validé la peine.

Google, dans une réaction adressée à la presse, indique que « les internautes nous font confiance afin de respecter leur droit à la vie privée et veiller à leur sécurité. Dans le respect de ces attentes, nous nous engageons à mettre en place de nouveaux changements, ainsi qu’à travailler activement avec la CNIL en réponse à sa décision, dans le cadre de la directive ePrivacy. »

Dans l’immédiat, Google et Facebook font face à une échéance : ils ont trois mois pour rentrer dans le rang, c’est-à-dire en alignant grosso modo les boutons « Accepter » et « Refuser » au même niveau, de façon à rétablir le libre consentement des internautes en France. Si rien ne change ou si les modifications sont juste de la poudre de perlimpinpin, alors la Cnil a dans sa besace une autre sanction : 100 000 euros d’amende par jour de retard.

(mise à jour avec la réaction de Google)