Les modalités de refus d’un cookie doivent être aussi simples que celles pour les accepter
Le 31 décembre 2021, la Commission nationale de l’informatique et des libertés (CNIL) a lourdement sanctionné Google, Facebook et Youtube pour leurs pratiques en matière de « cookies », ces traceurs numériques utilisés notamment pour envoyer de la publicité ciblée.
La rapporteure relève que ces sites utilisent un procédé contraire à la loi, consistant à proposer un bouton permettant d’accepter immédiatement les cookies, sans mettre en place de solution équivalente qui permettrait à l’internaute de les refuser. En effet, il n’est pas rare qu’un seul clic soit nécessaire pour accepter les cookies, alors que plusieurs clics sont demandés pour les refuser.
L’article 82 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi Informatique et Libertés », prévoit l’obligation, sauf exception, de recueillir le consentement de l’utilisateur final avant toute opération d’écriture ou de lecture de cookies et autres traceurs. Autrement dit, aucun cookie non-essentiel au fonctionnement de ces sites ne pourra être déposé sur un ordinateur si l’utilisateur ne l’a pas au préalable accepté explicitement.
Dans le cadre de la procédure diligentée à l’encontre de ces sociétés, la Commission considère que la validité du consentement est liée à la qualité de l’information reçue, laquelle requiert de son débiteur (éditeurs de sites web, d’applications mobiles, régies publicitaires et réseaux sociaux) de la rendre visible, apparente et complète, rédigée en des termes compréhensibles par tout utilisateur.
En conformité avec le droit des contrats spéciaux, le formalisme de l’information joue ici un rôle déterminant : le consentement n’est valide que si l’utilisateur exerce un choix réel au sens du Règlement (UE) 2016/679 du Parlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « Règlement général sur la protection des données (RGPD) », adopté le 27 Avril 2016.
Au visa de l’article 4, considérant 42 du Règlement général de protection des données (RGPD), la Commission a conclu que le fait pour l’utilisateur de ne pas pouvoir refuser les cookies aussi simplement qu’il peut les accepter biaisait son choix en faveur du consentement à leur acceptation et porterait ainsi atteinte à la liberté du consentement des internautes :
« Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
Ainsi, des solutions permettant aux utilisateurs de retirer leur consentement doivent être accessibles à tout moment. C’est leur absence qui justifie la condamnation des sites, dont le paramétrage d’un refus prend concrètement plus de temps que celui pris par le fait de cliquer sur « Tout accepter ». Cette obligation de recueil du consentement incombe aux éditeurs de sites web et d’applications mobiles aux régies publicitaires ainsi qu’aux réseaux sociaux.
À ce titre, la Commission sanctionne Google au paiement d’une amende d’un montant de 150 millions d’euros et Facebook au règlement d’une amende de 60 millions d’euros.
En complément, la CNIL enjoint de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. À défaut, les sociétés mises en cause devront chacune payer une astreinte de 100 000 euros par jour de retard.
*****
(Délib. CNIL 31 déc. 2021, n° SAN-2021-023)
(Délib. CNIL, 31 déc. 2021, n° SAN-2021-024)