Des cookies à 60 et 150 millions d'euros d'amende : la condamnation de Facebook et Google par la Cnil

Marqueurs des bouleversements du marketing digital, les condamnations spectaculaires de Meta (anciennement Facebook*) et Google** par la CNIL les 30 et 31 décembre 2021 font application d'un encadrement juridique strict de la collecte et du traitement des cookies. Condamnation déjà contestée par Google devant le Conseil d'Etat, dont le rapporteur public vient de se prononcer au soutien de la CNIL à travers ses conclusions mi-janvier***, demandant le rejet de la requête et contestation de Google.

Google réclame la compétence de la Data Protection Commission (DPC) irlandaise sous le prétexte du mécanisme du “guichet unique” simplifiant les compétences dans le cadre du RGPD.

Le Conseil d’État dans une décision très attendue pourra valider ou annuler la décision de la CNIL, ou renvoyer l’affaire devant la Cour de justice de l’Union européenne dans les prochaines semaines.

La CNIL souligne que les deux géants « proposent un bouton permettant d’accepter immédiatement les cookies. En revanche, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter » portant ainsi atteinte à la liberté du consentement****.

Quelle est la valeur réelle de ces traceurs numériques, que les GAFA collectent en masse, au détriment des droits des personnes concernées et malgré les sanctions ?

 Les cookies sont des traceurs informatiques permettant d’identifier un internaute et de le suivre de page en page durant sa navigation ; ils sont stockés directement sur le terminal de l’internaute : ordinateur, téléphone, mais également télévision connectée, console de jeux vidéo, assistant vocal, objets communicants, ou encore véhicule connecté. Différents cookies peuvent être distingués, parmi lesquels :

(i)            Les cookies fonctionnels, qui sont strictement essentiels au fonctionnement d’un service -ces cookies permettent notamment à un site de garder en mémoire le fait qu’un internaute a déjà renseigné son identifiant et son mot de passe, afin de ne pas le requérir de nouveau à chaque changement de page- ;

(ii)          Les cookies publicitaires, qui enregistrent les préférences de l’internaute -ainsi, si un internaute regarde une paire de chaussure en particulier sur un site, un cookie peut-il conserver les informations de la marque, la couleur, la forme, le prix, le modèle de la chaussure en question, ce qui permettra ultérieurement de proposer à l’internaute concerné des publicités extrêmement ciblées.

Il convient de noter que les cookies publicitaires, qui suivent l’internaute, peuvent être issus du site que l’internaute est en train de visiter, mais également de sites tiers -cookies tiers- : (i) soit des sites auxquels il s’est précédemment connecté en acceptant une politique de cookies invasive, (ii) soit des sites partenaires du site internet qu’il visite -qui payent le plus souvent pour accéder à ces informations précieuses.

Les cookies publicitaires sont un outil quasi-indispensable du marketing en ligne, permettant de cibler avec précision les publicités et, par voie de conséquence, d’augmenter considérablement leur taux de réussite, qui se mesure par le pourcentage d’achat des produits ou services objets de la publicité par les consommateurs visés.

Les amendes imposées par la CNIL questionnent la valorisation marchande des cookies à ce jour. La décision contre Facebook du 30 décembre 2021 est sans équivoque :

« La société FACEBOOK INC. renommée META PLATEFORMS INC. (…) a réalisé un chiffre d’affaires de près de 86 milliards de dollars pour un résultat net de plus de 29 milliards de dollars. 98% de ce chiffre d’affaires est généré par les revenus issus de la publicité mise en œuvre dans le cadre de ses produits et services. (…). Même si l’ensemble de ces revenus ne sont pas directement liés aux cookies, (…) ce segment repose essentiellement sur le ciblage des internautes, auquel le cookie participe directement en permettant de singulariser et d’atteindre l’utilisateur identifié en vue de lui afficher du contenu publicitaire correspondant à ses centres d’intérêt et à son profil. »

La décision rendue à l’encontre de Google LLC. et Google Ireland Limited le souligne également :

« Le moteur de recherche Google Search a généré plus de 104 milliards de dollars de revenus, tandis que la publicité via les services du groupe GOOGLE a généré des revenus de près de 147 milliards de dollars et, via les services de YouTube, de près de 20 milliards. (…) Si elle admet que l’ensemble des revenus des sociétés ne sont pas directement liés aux cookies, la formation restreinte (…) estime que le manquement en cause procure des avantages financiers indéniables à la société, dès lors que le fait d’opter pour un parcours facilitant davantage le dépôt des cookies que le refus augmente la part des utilisateurs auprès desquels les cookies publicitaires sont susceptibles d’être déposés et donc accroît également le volume des revenus publicitaires générés par le profilage auquel ces cookies participent. »

La CNIL prend donc en compte les revenus générés par la violation de la protection des internautes en matière de cookies par chacune de ces entreprises, étant précisé que chaque décision a été assortie d’une astreinte de 100 000 euros par jour de retard.

En effet, les critères pris en compte par la CNIL pour justifier du montant de la condamnation sont le critère de gravité du manquement et des enjeux, les avantages financiers obtenus, et plus spécifiquement vis-à-vis de Google, le manque de coopération et le caractère délibéré et persistant.

Quelles sont les règles que chaque entreprise doit respecter en matière de cookies ?

Le régime de collecte et de traitement des cookies est régi par la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, transposée en droit français par la loi informatique et libertés (« LIL »).

Cette directive pose : « L'interdiction du stockage des communications et des données relatives au trafic y afférentes [et donc, notamment, des cookies] par des personnes autres que les utilisateurs ou sans le consentement de ceux-ci » (cons. 22).

Ainsi, l’article 5(3) de la directive précitée, repris à l’article 82 de la LIL, pose les principes suivants :

  • Le stockage de cookies, et l’obtention de l’accès à des cookies déjà stockés, dans l’équipement terminal d’un internaute, ne sont permis qu’à la condition que l’internaute ait donné son accord, après avoir reçu une information claire et complète, entre autres sur (i) les finalités du traitement et (ii) les moyens dont il dispose pour s'y opposer.
    Le règlement général sur la protection des données personnelles (« RGPD ») est venu renforcer, lors de son entrée en vigueur le 25 mai 2018, les exigences applicables à la collecte du consentement de l’internaute.
  • Seuls le stockage ou l’accès à des cookies (i) ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou (ii) strictement nécessaires au fournisseur pour la fourniture d’un service expressément demandé par l’internaute, sont dispensés de son consentement préalable, libre et éclairé.

Ces règles législatives sont accompagnées des lignes directrices édictées par la CNIL. Considérées comme des règles de droit souple (« soft law ») et constituent néanmoins une interprétation pointue de la règlementation applicable, dont toute violation est susceptible d’entraîner une sanction de la CNIL.

En vertu de l’article 20  de la LIL, renvoyant à l’article 83 du RGPD, toute entreprise faillissant à la règlementation sur le traçage numérique des internautes encourt une amende d’un montant de 2% du chiffre d'affaires annuel mondial total de son exercice précédent ou de 10 millions d’euros, le montant le plus élevé étant retenu, voire, dans le cas où la CNIL émet une injonction que l’entreprise ne respecte pas, de 4% du chiffre d'affaires annuel mondial total de son exercice précédent ou de 20  millions d’euros.

Les dernières directives en date ont été adoptées le 17 septembre 2020, et publiées le 1er octobre suivant, la CNIL ayant annoncé qu’elle n’exercerait ses pouvoirs de contrôle et de sanction des entreprises à cet égard qu’à compter du 31 mars 2021, à l’issue d’une période de tolérance de mise en conformité.

Ces règles exposent de façon extrêmement didactique les pratiques attendues par les entreprises, et proposent des modèles détaillés de « bandeau cookies » conformes. Sans exposer exhaustivement l’ensemble de ces règles, librement consultables sur le site de la CNIL, certaines préconisations méritent d’être soulignées :

1)    Le détail des finalités des cookies collectés doit être accessible immédiatement à l’internaute, préalablement à toute acceptation ou refus, sur le premier niveau d’information, par exemple (i) sous un bouton de déroulement, ou (ii) via un lien hypertexte ;

2)    L’internaute doit pouvoir aussi facilement accepter les cookies que les refuser, et ainsi (i) avoir le choix entre un bouton « tout accepter » et un bouton « tout refuser » présentés au même niveau et sur le même format, ou (ii) avoir l’option de cliquer sur « continuer sans accepter » pour exprimer son refus au dépôt et à la lecture de traceurs ;

3)    Le mécanisme de gestion et de retrait du consentement doit être offert via une zone visible et qui attire l’attention des utilisateurs, par exemple via une icône « gérer mes cookies » située en permanence en bas à gauche de l’écran.

En l’espèce, le manquement essentiel reproché tant à Meta qu’aux sociétés du groupe Google concernait le point n°2, à savoir l’impossibilité pour l’internaute de refuser les cookies aussi facilement qu’il peut les accepter, alors que la CNIL a estimé que « [le] caractère libre du consentement implique que les modalités qui sont proposées à l’utilisateur pour manifester son choix soient telles qu’elles ne l’incitent pas plus à accepter les cookies qu’à les refuser. »

La pratique des « cookie walls » est-elle licite ?

Certains éditeurs de sites ont recours à la pratique des « cookie walls », et en bloquent l’accès dans le cas où l’internaute ne consent pas à la collecte et au traitement de cookies le concernant.

À ce jour, si cette pratique n’est pas formellement et pleinement prohibée, la CNIL avait souhaité, lors de lignes directrices élaborées en 2019, y mettre un terme. Le Conseil d’Etat a cependant considéré que la généralité d’une telle décision excédait les prérogatives de la CNIL, en tant qu’autorité de régulation non normative (Conseil d’Etat, 19 juin 2020). La CNIL reste en théorie compétente pour apprécier au cas par cas la licéité d’une telle pratique, mais fait preuve de réserve.

Le mandat du Conseil concernant la régulation des cookies dans le futur règlement ePrivacy, actuellement débattu au Parlement européen, devra favoriser la liberté de choix des consommateurs*****.

L’application plus rigoureuse de la règlementation est-elle susceptible d’entraîner une nouvelle vague de bouleversements du marketing digital ?

Les sanctions sévères de la CNIL incitent les acteurs du marché à se conformer à la règlementation applicable en matière de cookies, rendant par conséquent leur collecte et leur traitement plus complexes – dans le respect du droit des internautes de plus facilement s’opposer.

Plusieurs acteurs du secteur des données personnelles ont annoncé « la fin des cookies tiers » (voir notamment l’article de la CNIL en date du 13 octobre 2021 : « Alternatives aux cookies tiers : quelles conséquences en matière de consentement ? »). Les principaux navigateurs du marché mondial, tels que Safari et Firefox, proposent depuis plusieurs années des systèmes de blocage de tels cookies, afin de répondre à une forte demande des internautes en ce sens. Google avait annoncé en 2019, l’arrêt du support des cookies tiers par Chrome dès 2023.

Cependant, ces évolutions ne visent pas au premier chef les cookies « internes ».

D’autre part, le marketing digital a d’ores et déjà développé de nouveaux outils de suivi alternatifs, surveillés de près par la CNIL.

Parmi ces technologies, le fingerprinting, ou prise d’empreinte, permet d’identifier un internaute à partir des données spécifiques de ses appareils de connexion et ainsi de le suivre dans sa navigation.

La possibilité offerte à un internaute d’utiliser un identifiant unique -par exemple, son compte Facebook, Google ou Apple- pour se connecter à différents services, permet à ces services de recouper ensemble les informations le concernant.

Enfin, la technique de « ciblage par cohorte » permet d’agréger un groupe de consommateurs anonymisés, présentant les mêmes centres d’intérêts spécifiques, afin de leur adresser des publicités ciblées, de façon moins intrusive -car de façon moins individuelle- que l’utilisation de cookies, tout en gardant la précision essentielle à un marketing pertinent.

Le acteurs et entreprises traitant des données doivent intégrer cette nouvelle dynamique dans leurs modèles de croissance.

Corinne Khayat et Anne-Marie Pecoraro

Cabinet UGGC

Associées

* https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840532

** https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840062

*** Source : Contexte

**** https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-google-hauteur-de-150-millions-deuros-et-facebook-hauteur-de-60-millions

***** https://www.consilium.europa.eu/fr/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/