[ 21 janvier 2022 ]

Droit des nouvelles technologies de l'information et de la communication

Cookies : les refuser doit être aussi simple que les accepter

Délib. CNIL 31 déc. 2021, n° SAN-2021-023

Délib. CNIL, 31 déc. 2021, n° SAN-2021-024

La CNIL a constaté que les sites Facebook.com, Google.fr et Youtube.com ne permettent pas de refuser les cookies aussi simplement que de les accepter. Elle sanctionne Google à hauteur de 150 millions d’euros (Délib. CNIL 31 déc. 2021, n° SAN-2021-023) et Facebook à 60 millions d’euros (Délib. CNIL, 31 déc. 2021, n° SAN-2021-024). En complément de ces amendes, elle leur enjoint de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. À défaut, elles devront chacune payer une astreinte de 100 000 euros par jour de retard.

À la suite de contrôles en ligne effectués directement sur ces sites, la formation restreinte de la CNIL, organe doté d’un pouvoir de sanction, a constaté que ces sites utilisent un procédé identique et contraire à la loi, consistant à proposer un bouton permettant d’accepter immédiatement les cookies, sans mettre en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement le dépôt de ces cookies. Plusieurs clics sont en effet nécessaires pour refuser tous les cookies, alors qu’un seul suffit pour les accepter. La Commission a considéré que ce procédé portait atteinte à la liberté du consentement des internautes. Il est vrai que lorsqu’on navigue sur le web, on doit très fréquemment accepter ou refuser des cookies. Cela fait partie du quotidien de tout utilisateur. Et dans la mesure où l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’il peut les accepter biaise son choix en faveur du consentement à leur acceptation. Ces décisions s’inscrivent dans le cadre de la stratégie globale de mise en conformité initiée par la CNIL depuis plus de deux ans auprès d’acteurs français et étrangers éditant des sites à forte fréquentation et ayant des pratiques contraires à la législation sur les cookies. Le but poursuivi par la commission est de parfaire, dans ce cadre, l’information délivrée aux utilisateurs pour un meilleur contrôle de l’utilisation de leurs données personnelles.

▪ Précisions sur le cadre juridique applicable

L’article 82 de la loi « Informatique et Libertés » transpose en droit français la directive ePrivacy (Dir. 2002/58/CE mod. par la Dir. 2009/136/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques). Cette législation prévoit notamment l’obligation, sauf exception, de recueillir le consentement de l’utilisateur final avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

• Cookies soumis au recueil du consentement de l’utilisateur : Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur nécessitent le consentement préalable de l’internaute. Autrement dit, aucun cookie non essentiel au fonctionnement de chacun de ces sites ne pourra être déposé sur nos ordinateurs, tablettes ou smartphones si nous ne l’avons pas, au préalable, accepté explicitement. Parmi les cookies nécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notamment citer les cookies liés aux opérations relatives à la publicité personnalisée, géolocalisée ou encore les informations contenues sur les réseaux sociaux générés par leurs boutons de partage.

• Objet de l’obligation : L'article 5(3) de la directive ePrivacy pose le principe d'un consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci. L’article 82 de la loi « Informatique et Libertés » transpose ces dispositions en droit français. La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD (Règl. n° (UE) 2016/679 du 27 avr. 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données).

Il est à noter qu’en conformité avec le droit commun des contrats, qui vérifie l’absence d’atteinte au consentement tant dans sa dimension réflexive (lucidité du consentement), que dans sa dimension volitive (liberté du consentement), il est ici pareillement requis que le consentement de l’utilisateur soit libre et éclairé, univoque et spécifique. Aussi bien, celui l’ayant initialement émis doit-il être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’aura accordé : dans cette perspective, rappelons que dans la théorie générale du contrat, la liberté de consentir se traduit également par la liberté de ne pas consentir. Peut donc être observée une approche unitaire de la protection de la liberté du consentement sur ces deux fondements distincts que constituent la théorie générale du contrat et le droit spécial de la protection des données personnelles.

• Débiteurs de l’obligation : Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi « Informatique et Libertés » (par ex. lorsque les éditeurs autorisent le dépôt de cookies qui sont ensuite lus par des régies publicitaires).

L'obligation de recueil du consentement incombe donc, notamment, aux éditeurs de sites web et d'applications mobiles, aux régies publicitaires ainsi qu’aux réseaux sociaux.

De manière générale, les éditeurs de sites ou d’applications mobiles, du fait d’un contact direct avec l’utilisateur, sont souvent les plus à même de porter à la connaissance de ce dernier l’information sur les traceurs déposés et de collecter leur consentement.

• Modalités de l’obligation (ou comment recueillir valablement le consentement ?)

▫ Temporalité de l’obligation : le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix (les destinataires de la collecte de ses données personnelles essentiellement). Dans cette perspective, il doit disposer à tout moment des moyens d’accepter, de refuser et de retirer son consentement. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions simples d’usage. C’est pourquoi la seule acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.

Le consentement doit être préalable au dépôt et/ou à la lecture de cookies. En conséquence, tant que la personne n'a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal, et son consentement doit être requis à chaque fois qu'une nouvelle finalité nécessitant son accord vient s'ajouter aux finalités initialement prévues.

▫ Formalisme de l’obligation : le consentement se présente comme une manifestation de volonté libre et éclairée, devant être exprimée de manière spécifique et univoque. La validité du consentement est donc notamment liée à la qualité de l'information reçue, laquelle requiert de son débiteur de la rendre visible, apparente et complète, rédigée en des termes simples et compréhensibles par tout utilisateur, précise s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements. En conformité avec le droit des contrats spéciaux cette fois, le formalisme de l’information joue donc ici, également, un rôle déterminant.

▫ Effectivité de l’obligation : le consentement n'est valide que si l’utilisateur exerce un choix réel. Partant, il doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec un égal degré de simplicité. Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Ainsi le consentement doit-il pouvoir être retiré simplement et à tout moment par l'utilisateur. Il doit être aussi simple de retirer son consentement que de le donner. Des solutions permettant aux utilisateurs de retirer leur consentement doivent être accessibles à tout moment. C’est leur absence qui justifie la condamnation de ces trois célèbres sites, dont le paramétrage d’un refus prend concrètement plus de temps que celui pris par le fait de cliquer sur « Tout accepter ».

▪ Précisions sur le pouvoir de sanction de la formation restreinte

En cas de non-conformité au RGPD et à la loi, le président de la CNIL peut saisir la formation restreinte afin que soient prononcées une ou plusieurs mesures à l’issue d’une procédure durant laquelle est entendu l’organisme mis en cause.

• Variété des mesures

Différentes mesures correctrices peuvent être prononcées par la formation restreinte :

-          rappel à l’ordre ;

-          injonction de mettre en conformité le traitement avec les obligations prévues par les textes ou une injonction de satisfaire aux demandes d’exercice des droits des personnes. Cette injonction peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard ;

-          limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ;

-          retrait d’une certification ;

-          suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

-          suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ;

-          amende administrative dont le montant est déterminé en fonction des éléments mentionnés aux 5 et 6 de l’article 83 du RGPD. L'amende peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial en cas de non-respect des principes fondamentaux du RGPD, des droits des personnes, des dispositions sur les transferts ou de non-respect d’une injonction d’une autorité. Cette amende peut atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial en cas de non-respect des obligations du responsable de traitement ou du sous-traitant (en matière de sécurité, d’analyse d’impact, de tenue du registre des activités, etc.) ou de non-respect des obligations incombant à l’organisme de certification ou en charge des codes de conduite.

• Publicité des mesures

La formation restreinte peut décider de rendre publique la décision qu’elle adopte. La publication peut intervenir dès la notification de la décision à l’organisme concerné. L’organisme mis en cause dispose alors d'un délai de deux mois pour former un recours devant le Conseil d'État.

La formation restreinte peut également ordonner l’insertion de la décision dans des publications, journaux et supports qu’elle désigne, aux frais des organismes sanctionnés.

À noter que depuis le 31 mars 2021, date de la fin du délai accordé aux sites et applications mobiles pour se mettre en conformité avec les nouvelles règles en matière de traceurs, la CNIL a adopté près de 100 mesures correctrices (mises en demeure et sanctions) en lien avec le non-respect de la législation sur les cookies.