Condamnations par la Cnil de Google et de Facebook en raison des modalités, offertes aux internautes, de refus des cookies

Cnil, 31 décembre 2021, délibérations SAN-2021-023 et SAN-2021-024.

Par deux décisions du 31 décembre 2021 (SAN-2021-023 et SAN-2021-024), la Commission nationale de l’informatique et des libertés (Cnil) a prononcé, à l’encontre des sociétés Google et Facebook, des sanctions administratives en raison de leurs pratiques en matière de mise à la disposition des internautes des moyens de refuser « les opérations de lecture et/ou d’écriture d’informations dans leur terminal » (cookies) rendus plus compliqués que s’agissant du fait de les accepter.

C’est sur la base de la version révisée de l’article 82 de la loi n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, transposant en droit français les dispositions de la directive 2002/58/CE, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive 2006/24/CE, du 15 mars 2006, et par la directive 2009/136/CE, du 25 novembre 2009, dite ePrivacy, que la formation restreinte de la Cnil, compétente pour exercer le pouvoir de sanction, s’est prononcée.

Ledit article 82 de la loi du 6 janvier 1978 dispose notamment que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète […] par le responsable du traitement : 1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ».

Dans l’interprétation faite de cette disposition, la Cnil se réfère à l’article 4 du règlement (UE) 2016/679, du 27 avril 2016, relatif à la protection des données à caractère personnel et à la libre circulation de ces données (RGPD), aux termes duquel, pour être valablement recueilli, le consentement doit être une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair », au sens qu’en donne le considérant 42 du même règlement selon lequel « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans les deux cas, s’agissant de Google et de Facebook, la Cnil a constaté que les modalités selon lesquelles les internautes étaient appelés à donner leur consentement étaient plus simples que celles par lesquelles ils pouvaient manifester leur refus. Elle a considéré que le fait de rendre le refus des cookies plus complexe que celui consistant à les accepter revenait, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier leur acceptation. Il en a été estimé que le système fonctionnait ainsi à l’avantage des sociétés en cause, notamment parce qu’il permettait, par les connaissances acquises des préoccupations et domaines d’intérêt des internautes, le recours à de la publicité ciblée, davantage efficace.

À titre de sanction de telles pratiques, la Cnil a prononcé à l’encontre de la société Google LLC une amende administrative d’un montant de 90 millions d’euros ; à l’encontre de la société Google Ireland Limited, une amende administrative d’un montant de 60 millions d’euros ; et, à l’encontre de la société Facebook Ireland Limited, une amende administrative de 60 millions d’euros.

Estimant nécessaire le prononcé d’une injonction afin que ces sociétés se mettent en conformité avec les obligations applicables, la Cnil l’a assortie d’une astreinte de 100 000 euros par jour de retard à l’issue d’un délai de trois mois suivant la notification des décisions rendues.

De telles décisions de condamnation, destinées à assurer la protection des droits des internautes, bien qu’elles soient prononcées sur la base de dispositions légales et dans le respect des droits de la défense des sociétés en cause et qu’elles soient susceptibles d’un recours juridictionnel, n’en soulèvent pas moins, au-delà des sommes d’argent en jeu, au regard des droits et des libertés, quelques interrogations. Celles-ci sont liées au fait que ces condamnations émanent, comme c’est le cas en d’autres domaines ou à d’autres égards également, d’une autorité administrative. L’exigence d’une compé­tence technique ou informatique particulière justifie-t-elle qu’un tel pouvoir de sanction échappe au juge judiciaire, gardien des libertés ? Des juges ne pourraient-ils pas acquérir une pareille compétence et se constituer en juridictions spécialisées ?

Professeur à l’Université Paris 2

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici