Cookies : la CNIL a sanctionné les géants du web

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné deux géants du web, Google et Amazon, sur la question des cookies, et notamment sur le dépôt de cookies publicitaires sur les ordinateurs d’utilisateurs sans consentement préalable et sans information satisfaisante.

Les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED ont été sanctionnées d’une amende de 100 millions d’euros (60 millions pour GOOGLE LLC et 40 millions pour GOOGLE IRELAND LIMITED), tandis que la société AMAZON EUROPE CORE a été sanctionnée d’une amende de 35 millions d’euros.

● La sanction GOOGLE

Suite au contrôle en ligne effectué sur le site web google.fr en date du 16 mars 2020, la CNIL a constaté trois manquements à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur : lors de sa visite sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur l’ordinateur de l’utilisateur sans action de sa part, alors que ce type de cookies ne peut pas être déposé sans que l’utilisateur ait exprimé son consentement ;
Un défaut d’information des utilisateurs du moteur de recherche google.fr : lors de l’arrivée sur la page google.fr, un bandeau d’information s’affichait en pied de page mais ne fournissait à l’utilisateur aucune information relative aux cookies (alors mêmes qu’ils avaient déjà été déposés sur son ordinateur, dès son arrivée sur le site);
La défaillance partielle du mécanisme d’opposition : lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition, un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La CNIL a donc sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’une amende de 100 millions d’euros (60 millions pour GOOGLE LLC et 40 millions pour GOOGLE IRELAND LIMITED), rendues publiques.

Il est à noter que le montant des amendes est justifié au regard des manquements précités, de la portée du moteur de recherche Google Search en France (ces pratiques auraient affectés près de 50 millions d’utilisateurs), et enfin au regard des bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

● La sanction AMAZON

Les contrôles en ligne effectués sur le site web amazon.fr entre le 12 décembre 2019 et le 19 mai 2020 ont permis à la CNIL de relever deux manquements :

Un dépôt de cookies sans recueil préalable du consentement : lorsque l’utilisateur se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies publicitaires était déposé sur son ordinateur sans action de sa part. La CNIL rappelle que le fait de déposer des cookies concomitamment à l’arrivée sur le site est une pratique qui, par nature, est incompatible avec un consentement préalable ;
Un défaut d’information des utilisateurs du site amazon.fr : les informations fournies n’étaient ni claires ni complètes, car elles ne comprenaient qu’une description générale et approximative des finalités de l’ensemble des cookies déposés et que l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées. En outre, le bandeau n’indiquait pas non plus à l’utilisateur qu’il a le droit de refuser ces cookies et les moyens dont il dispose à cette fin.
La CNIL précise que ce manquement était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web : dans ce cas, les mêmes cookies étaient déposés sans aucune information délivrée aux internautes.

La CNIL a donc également sanctionné la société AMAZON EUROPE CORE d’une amende de 35 millions d’euros, rendue publique.

Le montant retenu, ainsi que la publicité de l’amende, se justifient par la gravité des manquements constatés : une information de l’utilisateur incomplète voire inexistante concernant le dépôt de cookies, la place centrale occupée par le site amazon.fr en matière de commerce en ligne (des millions de personnes résidant en France se rendent quotidiennement sur le site), et enfin le fait que la personnalisation des annonces, rendue possible grâce aux cookies, permette d’augmenter considérablement la visibilité de ses produits ailleurs sur le web.

Sources :

https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-google-llc-et-de-40-millions-deuros-lencontre-de

https://www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article