La Cnil sanctionne Google et Facebook pour non-respect de la loi sur les cookies
150 et 60 millions d'euros. Ce sont les montants des amendes dont doivent s'acquitter respectivement Google et Facebook auprès de la Cnil. L'autorité reproche aux deux GAFA de ne pas respecter la loi sur les cookies et de ne pas permettre aux internautes de les refuser aussi facilement que de les accepter.
Je m'abonneLa Commission nationale de l'informatique et des libertés (Cnil) démarre l'année 2022 en force. Après avoir annoncé, le 4 janvier, une sanction de 300 000 euros à l'encontre de Free Mobile pour non-respect des droits des personnes et de la sécurité des données de ses utilisateurs, dans le cadre du RGPD, le gendarme des données personnelles sévit de nouveau. La Cnil fait ainsi savoir le 6 janvier qu'elle impose à Google et à Facebook des amendes de respectivement 150 millions d'euros et 60 millions d'euros "pour non-respect de la loi" sur les cookies (la loi e-privacy de 2002). Elle indique également avoir alerté Google dès le mois de février 2021 sur ces manquements.
La Cnil explique dans un communiqué avoir constaté, à la suite de contrôles, que "les sites facebook.com, google.fr et youtube.com ne permettent pas de refuser les cookies aussi simplement que de les accepter". Si ces sites Web mettent en avant un "bouton" permettant d'accepter immédiatement les cookies, ils ne proposent pas de solution équivalente pour donner le choix à l'internaute de refuser facilement le dépôt de ces cookies. Alors que la loi Informatique et Libertés (article 82) impose que les internautes peuvent refuser les cookies et autres traceurs (qui permettent notamment la publicité ciblée) aussi facilement qu'ils peuvent les accepter, plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter. En conséquence : le choix de l'internaute est biaisé en faveur du consentement, conclut la Cnil.
100 mises en demeure et sanctions depuis le 1er avril 2021
Les amendes prononcées par la formation restreinte de la Cnil se répartissent de la façon suivante : 150 millions d'euros à l'encontre de Google, soit 90 millions pour la société Google LLC (Google Search, Gmail, Google Maps et YouTube) et 60 millions d'euros pour la société Google Ireland Limited (siège de Google) ; et 60 millions d'euros à l'encontre de la société Facebook Ireland Limited. La Cnil enjoint également les deux groupes à se mettre en conformité, en France, dans un délai de trois mois - sous peine de sanctions financières supplémentaires à hauteur de 100 000 euros par jour de retard. Par la voix de son porte-parole, Google a réagi : "Les internautes nous font confiance afin de respecter leur droit à la vie privée et veiller à leur sécurité. Dans le respect de ces attentes, nous nous engageons à mettre en place de nouveaux changements, ainsi qu'à travailler activement avec la CNIL en réponse à sa décision, dans le cadre de la directive ePrivacy."
Ce n'est pas une première pour Google. En décembre 2020, la Cnil a infligé une amende de 100 millions d'euros à Google (et de 35 millions d'euros à Amazon) pour dépôt de cookies sur l'ordinateur de l'internaute, sans accord préalable.
Depuis le 31 mars 2021, date de la fin du délai accordé aux sites et applications mobiles pour se mettre en conformité avec les nouvelles règles en matière de traceurs, la CNIL annonce avoir adopté près de 100 mesures correctrices (mises en demeure et sanctions) en lien avec le non-respect de la législation sur les cookies.