Par trois délibérations, la CNIL rappelle l’importance du respect des obligations d’information des personnes et d’obtention du consentement.
Si quelqu’un m’avait demandé ce que je ferais quelques heures après la soutenance de ma thèse, j’aurais sans doute répondu : j’utiliserai ce nouveau moule à madeleines pour m’essayer à la réalisation de ces délicieux petits gâteaux.
Il est vrai que l’objectif que je m’étais donné, avant la fin du premier confinement, à savoir trouver la recette de mes cookies préférés (mous à l’intérieur et croquants à l’extérieur) avait été atteint. Je pouvais donc m’atteler à créer ma recette de madeleines.
Finalement, la CNIL en a décidé autrement et je me remets donc aux cookies !
Bien sûr, il ne s’agit pas de ces petits gâteaux, mais plutôt des petites données déposées sur le navigateur Internet d’un utilisateur dans le but de tracer son activité.
Ces derniers jours, la CNIL a rendu publiques plusieurs délibérations sur ce sujet (celles condamnant deux sociétés du groupe Carrefour à plus de 3 millions d’euros d’amende ; celle condamnant les sociétés Google LLC et Ireland à un montant total de 100 millions d’euros d’amende ; et enfin celle condamnant Amazon à 35 millions d’euros d’amende), et j’ai pensé qu’il serait intéressant d’en proposer de brèves analyses.
Sans revenir sur les nombreuses questions que ces délibérations soulèvent (notamment celles liées à la compétence de la CNIL), on peut dire qu’elles partagent un point commun : elles sont toutes fondées sur l’article 82 de la loi Informatique et libertés et sanctionnent des entreprises pour des manquements liés aux cookies. Ce sont particulièrement ces questions qui vont retenir mon attention ici.
Bref rappel des règles en matière de cookies :
Pour que le placement de ces cookies soit considéré comme licite, la recette est relativement simple : le responsable du traitement doit informer de manière claire et complète l’utilisateur avant le dépôt du cookie. Une fois cette information fournie, l’utilisateur doit consentir au dépôt de ce cookie. En principe donc, l’utilisateur est censé être pleinement conscient de ce à quoi il consent.
Pourtant, et chacun le sait, les pratiques numériques actuelles montrent une réalité bien plus nuancée. Nous sommes en effet régulièrement confrontés aux multiples notices d’information, chacune plus longue et complexe à déchiffrer, chacune plus envahissante ou intrusive dans notre navigation.
Pour éviter un tel décalage entre la lettre du texte et la réalité, la CNIL se lance dans une offensive sans précédent sanctionnant ces défaillances. Nous nous réjouissons que la CNIL se saisisse avec tant de vigueur des mécanismes juridiques lui permettant de faire respecter ces obligations importantes. Elle s’affiche comme le porte-drapeau d’une mise en œuvre effective des règles et montre la voie aux autorités irlandaise et luxembourgeoise embourbées dans des enquêtes sans fin.
La CNIL donne vie aux règles relatives à l’information des personnes et au consentement
La délibération de janvier 2019 qui avait sanctionné Google à une amende historique de 50 millions d’euros, notamment pour son manquement à l’information des personnes dans le cadre du système d’exploitation Android (pour une analyse de cette décision, v. not. E. Netter, « Sanction à 50 millions d’euros : au-delà de Google, la CNIL s’attaque aux politiques de confidentialité obscures et aux consentements creux ») se révèle avoir été le prélude à des actions de grande ampleur menées par la commission.
Dans ses délibérations du 18 novembre contre Carrefour et du 7 décembre à l’encontre de Google et Amazon, la CNIL continue de sanctionner les manquements aux obligations liées à l’information des personnes et à l’obtention d’un consentement. Elle revient sur le caractère illicite des dépôts de cookies des entreprises sanctionnées, distingue les cookies publicitaires des cookies liés au fonctionnement du service, et impose aux entreprises de permettre de refuser le dépôt de ces cookies publicitaires. Elle revient aussi, notamment pour évaluer le montant de la sanction, sur le nombre considérable de personnes touchées par ces pratiques illicites.
Des dépôts de cookies illicites :
Dans sa délibération contre Carrefour, la CNIL remarque que 39 cookies étaient automatiquement déposés « dès l’arrivée sur la page d’accueil du site, et avant toute action de l’utilisateur », parmi lesquels trois appartenaient à la solution Google Analytics (§ 175). Pour Amazon, ce sont plus de 40 cookies publicitaires qui étaient déposés de manière similaire (§ 87 s.). Quant à Google, parmi les sept cookies déposés quatre étaient des cookies publicitaires déposés chaque fois selon les mêmes modalités, c’est-à-dire avant toute action de la part de l’utilisateur (§ 68). La CNIL revient longuement sur ce dépôt automatique des cookies publicitaires et rappelle que « les accès ou inscriptions de cookies dans le terminal d’un utilisateur ne peuvent avoir lieu qu’à la condition que ce dernier y ait consenti après avoir reçu [une] information claire et complète relative aux finalités des cookies déposés et des moyens dont il dispose pour s’y opposer » (v. not. § 72).
Un tel dépôt automatique de cookies publicitaires, avant toute action de la part de l’utilisateur, contrevenait nécessairement aux dispositions juridiques, et sa sanction est donc la bienvenue. Ces sanctions encourageront tous les acteurs à réévaluer leurs pratiques actuelles en matière de cookies publicitaires.
La CNIL relève une « avancée indéniable » des pratiques de ces entreprises pendant l’enquête qu’elle a menée. Les nouvelles pratiques de Carrefour qui ne dépose plus de cookie automatiquement ont semblé suffire à la CNIL (§ 179). Pour autant, cette avancée n’a pas été jugée suffisante pour Google puisque la commission considère que les informations fournies à l’utilisateur demeurent trop générales et ne lui permettent pas de comprendre « le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement » (§ 90).
La CNIL exige donc que les opérateurs informent concrètement les personnes de leurs pratiques et de la finalité du dépôt de leurs cookies. On peut tout de même se demander si cette obligation d’information ne va pas aboutir à des bandeaux encore plus larges et imposants, dévorant toujours plus le contenu souhaitant être visualisé.
Des cookies à finalité publicitaire soumis aux règles les plus contraignantes :
La CNIL rappelle une distinction importante prévue par le droit des données personnelles (sur les cookies, voir particulièrement l’alinéa 5 de l’article 82 de la loi Informatique et libertés) : le consentement n’est pas obligatoire lorsque le cookie est lié au bon fonctionnement du service, par exemple lorsqu’il est lié au choix de la langue, mais il reste obligatoire lorsqu’il est lié à d’autres finalités, comme c’est le cas pour les cookies publicitaires.
La CNIL revient sur le caractère publicitaire des cookies qui sont déposés par les trois entreprises (§ 175 s. pour Carrefour, § 87 pour Amazon, et § 99 et s. pour Google). Il est vrai que ces cookies publicitaires sont particulièrement intrusifs puisqu’ils visent à suivre le parcours des utilisateurs et à collecter des informations sur leurs goûts et préférences afin de leur proposer des offres adaptées. C’est parce que ces cookies sont particulièrement intrusifs que leur dépôt requiert le consentement de la personne concernée. L’effectivité de ces règles est donc essentielle pour protéger les personnes contre des manipulations insidieuses.
Des cookies publicitaires qu’il devrait être facile de refuser :
Dans chacune de ses délibérations, la CNIL revient sur les difficultés pour la personne de refuser les cookies. L’institution rappelle que les internautes doivent être informés du droit dont ils disposent de refuser l’inscription du cookie publicitaire.
Pour Google, les griefs vont encore plus loin puisque la commission observe « qu’après avoir pourtant désactivé la personnalisation des annonces sur la recherche Google, la délégation a constaté, en poursuivant sa navigation sur le site, que plusieurs de ces cookies à finalités publicitaires demeuraient stockés sur son équipement terminal » (§ 107). La commission note donc le caractère défaillant de la procédure de refus de la personnalisation des contenus mis en place par Google. Une telle défaillance est particulièrement problématique. En effet, le processus de refus de cette personnalisation étant d’ores et déjà très complexe, s’il n’est pas pris en considération, il risque de décourager encore davantage les personnes tentant de se protéger contre ces cookies intrusifs.
La CNIL prend en compte le nombre des personnes concernées par les manquements
Le RGPD invite les autorités à prendre en considération le nombre des personnes concernées par les manquements (art. 83 du RGPD). Pour chacune de ces grandes entreprises, le nombre de personnes affectées est considérable : « tous les visiteurs du site carrefour.fr » ; « au moins 47 millions d’utilisateurs en France » pour Google – soit environ 70 % de la population française – (§ 125) et « environ 300 millions d’identifiants Amazon (…) attribués en France sur une période de neuf mois » (§ 123).
Derrière ces chiffres se trouvent des personnes dont les données ont été collectées de manière illégale et dont les droits ont été violés. Les sanctions de plusieurs millions semblent donc proportionnées aux effets de ces manquements pour la protection des personnes.
Pour clore ces brèves analyses, nous nous réjouissons de voir la CNIL continuer de mettre en œuvre les règles juridiques. Pour autant, nous doutons de la valeur informative des bandeaux liés aux cookies qui agacent plus qu’ils n’informent. Nous espérons voir prospérer des modèles d’analyses de données plus protecteurs des personnes et moins individualisés.
Nous sommes le vendredi 11 décembre, il est désormais 20 h, et il n’est peut-être pas trop tard pour réaliser ces fameuses madeleines…
Textes, articles et délibérations citées :
- Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC
- Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société Carrefour France et Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société Carrefour Banque
- Délibération de la formation restreinte n° SAN-2020-013 du 7 décembre 2020 concernant la société Amazon Europe Core
- Délibération de la formation restreinte n° SAN-2020-012 du 7 décembre 2020 concernant les sociétés Google LLC et Google Ireland Limited
- Emmanuel Netter, « Sanction à 50 millions d’euros : au-delà de Google, la CNIL s’attaque aux politiques de confidentialité obscures et aux consentements creux ».
- Règlement européen sur la protection des données (article 83 spécifiquement)
- Article 82 de la loi Informatique et libertés telle que modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018
Merci à Claude et Frédéric pour leurs rapides retours sur ces premiers éléments d’analyse.