La CNIL poursuit fermement sa lutte juridique contre les « cookie-walls », en tirant deux balles significatives contre deux géants Google et Amazon. Fin 2020, la commission a en effet infligé des sanctions de 100 millions d’euros à Google (LLC et Ireland Limited) et de 35 millions d’euros à Amazon pour violation de la directive « vie privée et communications électroniques », notamment en ce qui concerne les obligations de transparence sur les cookies, la possibilité de les refuser et l’architecture informationnelle de leur collecte. Par Gianclaudio Malgieri, professeur associé de droit et technologie à l’EDHEC Augmented Law Institute.
NDRL : Depuis le 1er avril 2021, de nouvelles règles s’appliquent en matière de cookies. Les sites Internet sont tenus d’informer plus clairement leurs visiteurs sur le rôle de ces petits fichiers-espions, et les internautes doivent être en mesure de les refuser aussi simplement qu’ils les accepteraient. Pertinentes pour la maîtrise de nos données personnelles, ces nouvelles règles entrouvrent aussi la porte aux “cookie walls”, qui permettent à l’éditeur d’un site internet de refuser l’accès à ses utilisateurs s’ils ne consentent pas à tous les cookies et traceurs du domaine. La CNIL, qui veille au grain, a sanctionné Google et Amazon en décembre 2020 à ce sujet.
Les violations de Google et Amazon concernent deux aspects : les devoirs d’information et la légalité des politiques en matière de cookies, ces fichiers déposés par votre ordinateur par le site pour suivre votre navigation. Ce que la CNIL semble suggérer, c’est que les deux grandes entreprises technologiques créent de facto des cookie-walls qui sont illégaux.
Les cookie-walls sont les bannières placées sur un site web pour informer les visiteurs de leur utilisation des cookies, sans option de rejet : la seule façon d’afficher le contenu est d’accepter et de continuer. En principe, les cookies, qui ne sont pas nécessaires au bon fonctionnement du site web, ne peuvent être installés et accessibles qu’après que la personne concernée a été correctement informée et a donné son consentement.
La CNIL observe que, lorsque les personnes concernées vont sur Google.fr, les premières informations apparaissant sur la bannière « vie privée » ne sont pas liées aux cookies. Néanmoins, plusieurs cookies sont immédiatement installés sur l’appareil de l’utilisateur. En outre, même en cliquant sur « plus d’informations », l’utilisateur ne peut pas comprendre immédiatement quels cookies sont collectés et à quelles fins. Il ne peut même pas désactiver ces cookies, sauf s’il fait défiler l’ensemble de la politique de confidentialité et clique enfin sur « autres options ».
Un système de désengagement “défaillant”
Après le début de l’enquête de la CNIL, Google a modifié sa politique de transparence concernant les cookies. Cependant, la commission constate que, même en tenant compte de ces améliorations, les finalités déclarées pour le traitement des données liées aux cookies sont génériques et pas assez spécifiques ; les effets ne sont pas communiqués de manière adéquate ; les procédures de refus des cookies sont toujours cachées derrière des boutons opaques comme « options » ou « plus d’informations ».
De plus, la CNIL a constaté que même si l’utilisateur désactive les fonctionnalités, certains cookies inutiles restent conservés dans son dispositif : en d’autres termes, le système de désengagement est non seulement opaque mais aussi « défaillant ».
Enfin, la CNIL soutient que l’expression « retirer son consentement » utilisée par Google est « abusive », puisque le consentement n’a jamais été réellement donné par les sujets, mais présumé dans le cadre d’un système d’opt-out. Les raisons pour lesquelles la CNIL a imposé des sanctions à Amazon sont similaires. En particulier, lorsque la personne concernée accède à Amazon.fr, elle ne peut que lire une bannière affirmant « en utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services ». Il s’agit d’une violation des dernières lignes directrices de la CNIL de septembre 2020, il devrait y avoir une expression non ambiguë du consentement, le système d’opt-out n’est désormais plus acceptable.
En résumé, la CNIL soutient que toute l’architecture informationnelle des deux grands acteurs de la tech pour la collecte de cookies n’est pas basée sur un système transparent d’opt-in (qui est le seul acceptable) mais sur un système opaque, ce qui entraîne une course d’obstacles pour les personnes refusant les conditions proposées. La portée territoriale de l’activité de la CNIL et de l’applicabilité du droit français a également été un sujet de discussion.
Un interdiction non explicite
Google a affirmé qu’en vertu du RGPD, le mécanisme de coopération impose que l’autorité de protection des données de l’État membre où Google a son établissement principal (Irlande) prenne la tête de la procédure d’infraction. Et Amazon a affirmé que puisque son établissement principal est au Luxembourg, il respecte les règles juridiques luxembourgeoises sur les cookies et ne devrait pas être invité à respecter les règles françaises.
La CNIL a rejeté les deux arguments : les données personnelles liées aux cookies sont régies par la directive « vie privée et communications électroniques », où le mécanisme de coopération indiqué par le RGPD ne peut s’appliquer. En outre, cette directive permet (à l’article 15 bis) aux États membres de déterminer, en vertu de leur droit national, les procédures d’application des règles relatives à la vie privée et aux communications électroniques.
En conséquence, chaque État membre peut suivre ses propres règles nationales (mettant en œuvre la directive européenne). L’applicabilité de la loi française et la compétence de la CNIL sont évidentes puisque les cookies sont installés dans les dispositifs matériels des personnes concernées qui se trouvent en France : le traitement des données se fait en France et, par conséquent, le principe de territorialité de la loi française Informatique et liberté (article 3) est respecté.
La principale conclusion que nous pourrions tirer de ces décisions est que, non seulement les cookie-walls sont (au cas par cas) susceptibles d’être illégaux, mais aussi qu’ils sont de facto généralement illégaux. En d’autres termes, le fait de forcer la personne concernée à gagner une difficile course d’obstacles de clics, de défilements et de boutons ambigus avant de pouvoir refuser les cookies a le même effet qu’un cookie-walls et devrait être interdit. Dans une perspective plus large, cet épisode clarifie l’urgence d’une réforme de la directive sur la vie privée et les communications électroniques.
NDLR : S’interrogeant toujours sur la licité de ce système, la CNIL indique sur son site qu’elle “reste dans l’attente d’une clarification pérenne” par le législateur européen.
L’auteur
Gianclaudio Malgieri est professeur associé de droit et technologie à l’EDHEC Augmented Law Institute, où il mène des recherches et enseigne le droit de la protection des données, le droit de la propriété intellectuelle, le droit des TIC et le droit des affaires. Il est également membre du comité de rédaction de Computer Law and Security Review et avocat. Il mène également des recherches sur la prise de décision automatisée, la vie privée et les droits fondamentaux, la surveillance, la propriété des données, la vie privée intellectuelle et le droit des consommateurs.