Cookies : la CNIL a sanctionné les géants du web

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné deux géants du web, Google et Amazon, sur la question des cookies, et notamment sur le dépôt de cookies publicitaires sur les ordinateurs d’utilisateurs sans consentement préalable et sans information satisfaisante.

Les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED ont été sanctionnées d’une amende de 100 millions d’euros (60 millions pour GOOGLE LLC et 40 millions pour GOOGLE IRELAND LIMITED), tandis que la société AMAZON EUROPE CORE a été sanctionnée d’une amende de 35 millions d’euros.

● La sanction GOOGLE

Suite au contrôle en ligne effectué sur le site web google.fr en date du 16 mars 2020, la CNIL a constaté trois manquements à l’article 82 de la loi Informatique et Libertés :

Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur : lors de sa visite sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur l’ordinateur de l’utilisateur sans action de sa part, alors que ce type de cookies ne peut pas être déposé sans que l’utilisateur ait exprimé son consentement ;
Un défaut d’information des utilisateurs du moteur de recherche google.fr : lors de l’arrivée sur la page google.fr, un bandeau d’information s’affichait en pied de page mais ne fournissait à l’utilisateur aucune information relative aux cookies (alors mêmes qu’ils avaient déjà été déposés sur son ordinateur, dès son arrivée sur le site);
La défaillance partielle du mécanisme d’opposition : lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition, un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

La CNIL a donc sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’une amende de 100 millions d’euros (60 millions pour GOOGLE LLC et 40 millions pour GOOGLE IRELAND LIMITED), rendues publiques.

Il est à noter que le montant des amendes est justifié au regard des manquements précités, de la portée du moteur de recherche Google Search en France (ces pratiques auraient affectés près de 50 millions d’utilisateurs), et enfin au regard des bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

● La sanction AMAZON

Les contrôles en ligne effectués sur le site web amazon.fr entre le 12 décembre 2019 et le 19 mai 2020 ont permis à la CNIL de relever deux manquements :

Un dépôt de cookies sans recueil préalable du consentement : lorsque l’utilisateur se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies publicitaires était déposé sur son ordinateur sans action de sa part. La CNIL rappelle que le fait de déposer des cookies concomitamment à l’arrivée sur le site est une pratique qui, par nature, est incompatible avec un consentement préalable ;
Un défaut d’information des utilisateurs du site amazon.fr : les informations fournies n’étaient ni claires ni complètes, car elles ne comprenaient qu’une description générale et approximative des finalités de l’ensemble des cookies déposés et que l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées. En outre, le bandeau n’indiquait pas non plus à l’utilisateur qu’il a le droit de refuser ces cookies et les moyens dont il dispose à cette fin.
La CNIL précise que ce manquement était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web : dans ce cas, les mêmes cookies étaient déposés sans aucune information délivrée aux internautes.

La CNIL a donc également sanctionné la société AMAZON EUROPE CORE d’une amende de 35 millions d’euros, rendue publique.

Le montant retenu, ainsi que la publicité de l’amende, se justifient par la gravité des manquements constatés : une information de l’utilisateur incomplète voire inexistante concernant le dépôt de cookies, la place centrale occupée par le site amazon.fr en matière de commerce en ligne (des millions de personnes résidant en France se rendent quotidiennement sur le site), et enfin le fait que la personnalisation des annonces, rendue possible grâce aux cookies, permette d’augmenter considérablement la visibilité de ses produits ailleurs sur le web.

Sources :

https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-google-llc-et-de-40-millions-deuros-lencontre-de

https://www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core

Je partage

Derniers articles

DPO interne ou externe : les clés pour faire le bon choix

La désignation d’un DPO est une disposition essentielle du RGPD pour être en conformité (article 37 à 39 du RGPD). Elle est obligatoire dans certains cas et reste fortement conseillée pour les autres. En tant que responsable de traitement, vous avez le choix de nommer un DPO en interne ou bien d’externaliser cette fonction. A travers cet article, découvrez les points de vigilance à intégrer à votre réflexion.

Lire l'article

Comment évaluer la résilience de votre entreprise face aux attaques informatiques ?

La résilience en cybersécurité est cruciale pour toutes les entreprises, quel que soit sa taille ou son secteur d’activité. Cela englobe la capacité à anticiper, prévenir, et récupérer de diverses menaces informatiques. Digitemis vous aide à évaluer votre résilience.

Lire l'article