Pourquoi la CNIL a sanctionné Google et Amazon ?
Gianclaudio Malgieri, Professeur Associé, Chercheur de l'EDHEC Augmented Law Institute, traite dans un article initialement publié sur The Conversation de la lutte juridique contre les « cookie-walls », et notamment contre les deux géants Google et Amazon.
La Commission nationale de l’informatique et des libertés de France (CNIL) poursuit fermement sa lutte juridique contre les « cookie-walls », en tirant deux balles significatives contre deux géants Google et Amazon. Le 7 décembre 2020, la CNIL a en effet infligé des sanctions de 100 millions d’euros à Google (LLC et Ireland Limited) et de 35 millions d’euros à Amazon pour violation de la directive « vie privée et communications électroniques » (telle que transposée dans l’article 82 de la loi française Informatique et Liberté du 6 janvier 1978), notamment en ce qui concerne les obligations de transparence sur les cookies, la possibilité de les refuser, et l’architecture informationnelle de leur collecte (qui est accusée d’être basée sur un mécanisme opaque et défaillant d’opt-out, c’est-à-dire d’obtention de l’accord de l’usager).
Les violations de Google et Amazon concernent deux aspects : les devoirs d’information et la légalité des politiques en matière de cookies, ces fichiers déposés par votre ordinateur par le site pour suivre votre navigation. Ce que la CNIL semble suggérer, c’est que les deux grandes entreprises technologiques créent de facto des cookie-walls qui sont illégaux. Les cookie-walls sont les bannières placées sur un site web pour informer les visiteurs de leur utilisation des cookies, sans option de rejet : la seule façon d’afficher le contenu est d’accepter et de continuer.
En principe, les cookies, qui ne sont pas nécessaires au bon fonctionnement du site web, ne peuvent être installés et accessibles qu’après que la personne concernée a été correctement informée (par une communication « conviviale », conformément à la directive « vie privée et communications électroniques ») et a donné son consentement.
La CNIL observe que, lorsque les personnes concernées vont sur Google.fr, les premières informations apparaissant sur la bannière « vie privée » ne sont pas liées aux cookies. Néanmoins, plusieurs cookies (placés également à des fins publicitaires) sont immédiatement installés sur l’appareil de l’utilisateur. En outre, même en cliquant sur « plus d’informations », l’utilisateur ne peut pas comprendre immédiatement quels cookies sont collectés et à quelles fins. Il ne peut même pas désactiver ces cookies, sauf s’il fait défiler l’ensemble de la politique de confidentialité (en évitant de cliquer sur un hyperlien) et clique enfin sur « autres options ».
Un système de désengagement « défaillant »
Après le début de l’enquête de la CNIL, Google a modifié sa politique de transparence concernant les cookies. Cependant, la CNIL constate que, même en tenant compte de ces améliorations, les finalités déclarées pour le traitement des données liées aux cookies sont génériques et pas assez spécifiques ; les effets (par exemple, la personnalisation des annonces sur les différents services de Google) ne sont pas communiqués de manière adéquate ; les procédures de refus des cookies sont toujours cachées derrière des boutons opaques comme « options » ou « plus d’informations ».
De plus, la CNIL a constaté que même si l’utilisateur désactive les fonctionnalités, certains cookies inutiles restent conservés dans son dispositif : en d’autres termes, le système de désengagement est non seulement opaque mais aussi « défaillant ». Enfin, la CNIL soutient que l’expression « retirer son consentement » utilisée par Google est « abusive », puisque le consentement n’a jamais été réellement donné par les sujets, mais présumé dans le cadre d’un système d’opt-out.
Les raisons pour lesquelles la CNIL a imposé des sanctions à Amazon sont similaires. En particulier, lorsque la personne concernée accède à Amazon.fr, elle ne peut que lire une bannière affirmant « en utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services ». Il s’agit d’une violation des dernières lignes directrices de la CNIL de septembre 2020 (et de l’arrêt « Planet49 » de la Cour de justice de l’Union européenne): il devrait y avoir une expression non ambiguë du consentement, le système d’opt-out (qui était accepté avant l’entrée en vigueur du Règlement général sur la protection des données, le RGPD, en mai 2018) n’est désormais plus acceptable.
En résumé, la CNIL soutient que toute l’architecture informationnelle des deux grands acteurs de la tech pour la collecte de cookies n’est pas basée sur un système transparent d’opt-in (qui est le seul acceptable) mais sur un système opaque, ce qui entraîne une course d’obstacles pour les personnes refusant les conditions proposées.
Une question de territorialité
La portée territoriale de l’activité de la CNIL et de l’applicabilité du droit français a également été un sujet de discussion. Google a affirmé qu’en vertu du RGPD, le mécanisme de coopération impose que l’autorité de protection des données de l’État membre où Google a son établissement principal (Irlande) prenne la tête de la procédure d’infraction (c’est-à-dire l’autorité irlandaise de protection des données). Et Amazon a affirmé que puisque son établissement principal est au Luxembourg, il respecte les règles juridiques luxembourgeoises sur les cookies et ne devrait pas être invité à respecter les règles françaises (lesquelles, soit dit en passant, sont plus restrictives et sévères).
La CNIL a rejeté les deux arguments : les données personnelles liées aux cookies sont régies par la directive « vie privée et communications électroniques », où le mécanisme de coopération indiqué par le RGPD ne peut s’appliquer. En outre, cette directive permet (à l’article 15 bis) aux États membres de déterminer, en vertu de leur droit national, les procédures d’application des règles relatives à la vie privée et aux communications électroniques. En conséquence, chaque État membre peut suivre ses propres règles nationales (mettant en œuvre la directive européenne).
L’applicabilité de la loi française et la compétence de la CNIL sont évidentes puisque les cookies sont installés dans les dispositifs matériels des personnes concernées qui se trouvent en France : le traitement des données se fait en France et, par conséquent, le principe de territorialité de la loi française Informatique et liberté (article 3) est respecté.
Une interdiction non explicite
La principale conclusion que nous pourrions tirer de ces décisions est que, non seulement les cookie-walls sont (au cas par cas) susceptibles d’être illégaux, mais aussi que ils sont de facto généralement illégaux. En d’autres termes, le fait de forcer la personne concernée à gagner une difficile course d’obstacles de clics, de défilements et de boutons ambigus avant de pouvoir refuser les cookies a le même effet qu’un cookie-walls et devrait être interdit.
Dans une perspective plus large, cet épisode clarifie l’urgence d’une réforme de la directive sur la vie privée et les communications électroniques. L’interdiction des cookie-walls n’est pas explicite dans le droit européen (la directive « Vie privée et communications électroniques » semble les tolérer en conflit avec la notion de consentement du RGPD – telle qu’interprétée par le Comité européen de la protection des données –).
En outre, on ne voit pas clairement pourquoi les règles de procédure du RGPD (par exemple, le mécanisme de coopération) ne peuvent pas être appliquées aux règles de vie privée en ligne, qui sont au contraire fragmentées en de nombreuses règles nationales différentes (qui sont souvent incompatibles entre elles). Toutefois, une réforme des règles de l’UE en matière de vie privée en ligne semble encore loin d’être approuvée.
Cet article est co-publié avec The Conversation France sous licence Creative Commons. Lire l’article original.