Deux décisions récentes, du 7 décembre 2020, montrent l’importance de se conformer aux règles protégeant les données à caractère personnel (rappelons également que Carrefour France et Carrefour Banque ont été condamné le 18 nov. 2020 à 2 250 000 euros et 800 000 euros par la Cnil pour avoir manqué à se conformer aux exigences d’information délivrée aux personnes et de droits des personnes prescrits par le RGPD) : ces exigences doivent être une priorité pour tous.

Google LLC et Google Ireland Limited viennent d’être condamnées par la Cnil à un montant total de 100 millions d’euros d’amende (Délib, Cnil, SAN-2020-012 du 7 décembre 2020, Google) et Amazon Europe Core à une amende de 35 millions d’euros (Délib., Cnil, SAN-2020-013 du 7 décembre 2020, Amazon).

Ces décisions apportent des précisions et rappellent les règles sur de nombreux thèmes que nous aurons l’occasion de commenter dans nos prochaines newsletters (responsabilité conjointe du traitement, compétence territoriale et matérielle de la Cnil, modalité d’estimation des sanctions).

Nous nous concentrerons cette fois sur la cause des sanctions octroyées par la Cnil à ces sociétés.

Concernant Google LLC et Google Ireland Limited, une délégation de la Cnil s’est rendue sur le site web google.fr et a constaté que des cookies étaient automatiquement déposés sur leur ordinateur, sans action de leur part. Et plusieurs de ces cookies poursuivaient un objectif publicitaire.

Or, les accès par un responsable du traitement à des informations stockées dans un équipement terminal de communication électronique ou l’inscription d’information dans un tel équipement par le responsable du traitement, ne peuvent avoir lieu qu’après avoir reçu son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle (Loi n°78-17 du 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés, art. 82).

L’utilisateur n’ayant pas exprimé son consentement, Google LLC et Google Ireland sont considérées comme ayant violé le texte applicable.

De plus, le texte réclame aux responsables du traitement d’informer les personnes concernées quant aux finalités de mise en place des cookies et moyens de s’y opposer.

Or, de telles informations n’étaient pas fournies par Google.

Cette dernière a essayé de remédier à la situation en cours d’instruction en présentant un bandeau qu’elle estimait conforme aux demandes de la Cnil. Ce bandeau contenait les informations suivantes :

« Google utilise des cookies et d'autres données pour fournir, gérer et améliorer ses services et annonces. Si vous acceptez, nous personnaliserons le contenu et les annonces que vous voyez en fonction de votre activité sur les services Google comme la recherche, Maps et YouTube. Certains de nos partenaires évaluent également la façon dont nos services sont utilisés. Cliquez sur "Plus d'informations" pour découvrir les options qui s'offrent à vous ou consultez la page g.co/privacytools à tout moment, les termes cookies, partenaires et g.co/privacytools étant des liens cliquables ».

Mais, la Cnil a considéré que ces informations étaient insuffisantes, et pour cause l’exposé des différentes finalités mentionnées dans ce bandeau demeure trop général pour que les utilisateurs puissent comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés sur leur terminal.

La Cnil nous indique qu’il faut permettre aux personnes concernées de personnaliser le contenu, elles doivent pouvoir refuser les cookies. Les termes « options » ou « Plus d’information » ne permettent pas à l’utilisateur de comprendre l’étendue de ces droits.

Enfin, lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition, l’ensemble des cookies publicitaires n’était pas supprimé.

Concernant Amazon, la situation était équivalente : des cookies publicitaires étaient automatiquement déposés sur le terminal de l’utilisateur sans aucune information préalable. La Cnil a sanctionné ces manquements.

Il est donc indispensable pour toutes les sociétés exerçant leur activité sur internet d’actualiser leur dispositif de cookies afin d’être conforme aux exigences de protection des données à caractère personnel, à savoir notamment respecter l’information, le consentement et le droit d’opposition des personnes concernées.