Blog Données personnelles

La CNIL prononce une sanction de 60 millions d’euros contre Facebook et de 150 millions d’euros contre Google pour manquement aux règles en matière de cookies.

A l’issue de deux délibérations de sa formation restreinte du 30 et 31 décembre 2021, la Commission a décidé de sanctionner lourdement deux grands acteurs du numérique pour leurs pratiques en matière de suivi des internautes. Facebook écope d’une amende de 60 millions d’euros tandis que Google, déjà en contentieux devant le Conseil d’Etat pour une autre amende, se voit infliger une amende de 150 millions d’euros, la plus lourde sanction financière jamais décidée par le gendarme français des données personnelles. La CNIL leur reproche de rendre difficile le refus du dépôt de leurs cookies par les utilisateurs.

Suite à de nombreuses plaintes, la CNIL a estimé que Facebook et Google auraient préféré s’adonner à des pratiques contraires à ses lignes directrices plutôt que de risquer la perte d’une partie de leurs revenus publicitaires. En effet, l’affichage conjoint par un site internet des boutons « accepter » et « refuser » les cookies semble conduire à une baisse du taux de consentement et donc des données d’utilisateurs exploitables. Facebook et Google auraient donc complexifié le parcours de l’internaute afin qu’il soit dissuadé d’exprimer un refus.

Plusieurs clics seraient nécessaires pour refuser les cookies du site Facebook.fr. D’autre part, le bandeau du réseau social rendrait impossible le recueil d’un consentement éclairé, le bouton employé pour confirmer le refus étant lui-même intitulé « accepter les cookies ».

Les sites google.fr et youtube.fr exigeraient également un parcours à plusieurs clics, incitant pareillement les utilisateurs à choisir l’option la plus simple et la plus rapide.

La CNIL semble donc s’en tenir à son exigence d’une équivalence en matière de simplicité et de rapidité entre l’acceptation et le refus du suivi de la navigation. Pour rappel, «  retirer son consentement  » doit être «  aussi simple  » que de le donner conformément aux lignes directrices de la CNIL du 17 septembre 2020.

La Commission sanctionne spécifiquement la complexification du parcours de refus des cookies mais également l’emploi de formulations pouvant susciter le doute ou la confusion chez l’internaute.

Les établissements principaux de Facebook et Google dans l’Union Européenne étant situés en Irlande, la CNIL s’attache à démontrer qu’elle tire sa compétence matérielle de la directive « e-privacy » et non du RGPD. La première n’introduit en effet pas de principe de guichet unique et c’est de cette directive dont relèvent les pratiques sanctionnées. Elle s’estime par ailleurs territorialement compétente, les internautes français étant suivi dans le cadre de l’activité des établissements français de Facebook Ireland Ltd, Google Ireland Ltd et Google LLC.

Google et Facebook disposent d’un délai de 3 mois à compter de la notification de la sanction pour se mettre en conformité, après quoi elles verront s’ajouter une astreinte de 100 000 euros par jour de retard. L’appel de la décision est quant à lui possible sous 4 mois.