Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Le 31 décembre 2021, la CNIL a prononcé une sanction à l’encontre de deux sociétés du Groupe GOOGLE (GOOGLE LLC et GOOGLE IRELAND LIMITED) et la société FACEBOOK IRELAND LIMITED en raison d’un manquement à l’article 82 de la loi informatique et libertés du 6 janvier 1978 telle que modifiée.

La CNIL indique avoir reçu plusieurs plaintes concernant les modalités de refus d’utilisation des cookies sur les sites internet suivants :

  • facebook.com ;
  • google.fr ;
  • youtube.com.

A la suite de contrôles, la CNIL a constaté que les sites internet précités proposaient un bouton d’acceptation des cookies mais aucune solution équivalente afin de permettre aux internautes de refuser les cookies.

Plusieurs clics des internautes étaient nécessaires pour refuser la totalité des cookies tandis qu’un seul clic sur le bouton prévu à cet effet (« j’accepte » ou « Accepter les cookies ») suffisait pour tous les accepter.

La CNIL a considéré que les internautes ne pouvaient refuser l’utilisation des cookies aussi simplement qu’ils les acceptaient. Un processus complexe de refus des cookies revient à décourager les utilisateurs et les incite à accepter les cookies par facilité. Or, une telle pratique porte atteinte à la liberté du consentement des internautes et constitue une violation de l’article 82 de la loi Informatique et Libertés.

En conséquence, la CNIL a prononcé les sanctions financières suivantes :

  • 150 millions d’euros à l’encontre de GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED);
  • 60 millions d’euros à l’encontre de la société FACEBOOK IRELAND LIMITED.

La CNIL a également enjoint les sociétés de se mettre en conformité dans un délai de 3 mois et de mettre en place une solution permettant aux internautes situés en France de refuser les cookies aussi simplement que de les accepter. A défaut, les sociétés devront payer une astreinte de 100.000 euros par jour de retard.

Délibération SAN-2021-024 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Délibération SAN-2021-023 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Cookies et traceurs CNIL

Cookies et traceurs CNIL

La CNIL a récemment publié de nouvelles recommandations et lignes directrices sur les cookies et traceurs (délibérations n°2020-091 et 2020-092 du 17 septembre 2020).
Les acteurs disposent d’un délai de 6 mois pour se mettre en conformité avec les nouvelles règles applicables, soit au plus tard à fin mars 2021.

Cookies : comment informer et quelle information communiquer aux internautes ?

Les internautes doivent clairement être informés, d’une part, des finalités des cookies et traceurs avant de consentir ou refuser ces derniers et, d’autre part, des conséquences qui s’attachent à une acceptation ou un refus de ces cookies et traceurs.
Par ailleurs, les internautes doivent être informés de l’identité de tous les acteurs utilisant des cookies et traceurs soumis au consentement. Cela implique d’indiquer précisément les sociétés tierces et partenaires utilisant des cookies et traceurs via le site internet.
Enfin, la CNIL précise qu’un certain nombre de cookies et traceurs nécessaires sont exemptés de consentement (choix de la langue, authentification, …).

Comment se matérialise le consentement et le refus des cookies ?

Le principe reste que les internautes doivent consentir au dépôt des cookies sur leur terminal.
Le consentement doit être matérialisé par un acte positif clair (par exemple, en cliquant sur un bouton « j’accepte »).
Ainsi, la simple poursuite de la navigation sur un site internet ne peut plus être considérée comme une expression valide du consentement au dépôt de cookies.
Ne constitue pas non plus un consentement valide une case pré-cochée sur le site internet car cela implique a contrario que l’utilisateur décoche la case pour refuser de donner son consentement. La CJUE avait précisé dans cette même décision que l’obligation de requérir le consentement de l’utilisateur au dépôt des cookies s’applique que les cookies traitent ou non des données personnelles (CJUE, 1er octobre 2019, C‑673/17).
Les internautes doivent également pouvoir refuser les cookies lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site ou à un service demandé par les utilisateurs. Dans ses lignes directrices, la CNIL précise que refuser les cookies et traceurs doit être aussi aisé que de les accepter.
L’autorité de contrôle recommande ainsi un parallélisme des formes. Par exemple, l’interface de recueil du consentement pourrait comprendre non seulement un bouton « tout accepter » mais également un bouton « tout refuser ».
Le refus des cookies doit pouvoir être exprimé à tout moment.

Comment paramétrer les cookies et traceurs ?

Les internautes doivent consentir ou refuser les cookies et traceurs en fonction de leur finalité, et ce à tout moment.
En début de navigation, un bandeau ou un pop-up permettant de paramétrer les cookies et traceurs doit apparaître sur le site internet.
A tout moment, les internautes doivent pouvoir modifier ces choix. Il est en conséquence recommandé de mettre à disposition sur le site les moyens de gérer facilement ses préférences relatives aux cookies. Cela peut prendre la forme d’un lien « Gérer mes cookies / Modifier mes préférences cookies » ou d’un module de paramétrage placés dans une zone visible du site internet (par exemple en bas à gauche de l’écran) ou encore d’une icône « cookie » visuellement explicite.

Quelle est la durée de conservation des choix de l’utilisateur ?

La CNIL recommande de conserver les choix exprimés en matière de cookies par l’internaute, tant pour son consentement que pour son refus. La durée de conservation des choix doit être appréciée selon le contexte et la nature du site internet. Cependant, la CNIL indique qu’une durée de 6 mois (contre 13 mois auparavant) constitue une bonne pratique. Si le consentement avait été sauvegardé, cela implique d’obtenir à nouveau le consentement des utilisateurs au terme de cette période.

Quelle est la politique de contrôle de la CNIL ? Quelles sont les sanctions en cas de non-respect des lignes directrices ?

Jusque fin mars 2021, la CNIL procèdera à des actions de contrôle de respect des principes précédemment exposés dans sa recommandation de 2013. C’est dans ce cadre qu’elle a récemment sanctionné les sociétés Carrefour, Google et Amazon (cf notre encadré).
A compter d’avril 2021, la CNIL s’assurera de l’application des nouvelles lignes directrices par les responsables de traitement.
En cas de non-respect des lignes directrices, les sanctions qui pourront être prononcées sont celles fixées dans le RGPD et la loi Informatique et libertés modifiée, c’est-à-dire, notamment une sanction financière pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu..

Le Cabinet MVM Avocats est à votre disposition pour vous accompagner dans la mise en conformité de votre site internet aux nouvelles lignes directrices en matière de cookies et de traceurs.

Dernières sanctions en matière de non-respect des recommandations relatives aux cookies :

CARREFOUR France ET CARREFOUR BANQUE : La CNIL a prononcé une sanction de 2 250 000 euros et de 800 000 euros à l’encontre des sociétés CARREFOUR FRANCE et CARREFOUR BANQUE en raison, notamment, d’un manquement à la règlementation relative aux cookies. Plusieurs cookies (dont des cookies publicitaires) étaient automatiquement déposés, avant toute action de sa part, sur le terminal de l’utilisateur qui se connectait aux sites internet des sociétés. Le consentement de l’utilisateur aurait dû être recueilli avant le dépôt (Délibérations n° SAN-2020-008 et n° SAN-2020-009 du 18 novembre 2020).

GOOGLE LLC et GOOGLE IRELAND LTD : La CNIL a prononcé une sanction d’un montant total de 100 millions d’euros à l’encontre des sociétés GOOGLE , en raison (i) du dépôt de cookies publicitaires sur les terminaux des utilisateurs du moteur de recherche sans consentement préalable ni information satisfaisante, et (ii) d’un mécanisme d’opposition défaillant : malgré la modification de ses paramètres par l’utilisateur, un cookie publicitaire demeurait stocké sur son ordinateur (Délibération n°SAN-2020-012 du 7 décembre 2020).

AMAZON EUROPE CORE : La CNIL a prononcé une sanction de 35 millions d’euros à l’encontre de la société AMAZON pour avoir déposé des cookies publicitaires sur les terminaux des utilisateurs à partir du site amazon.fr sans consentement préalable ni information satisfaisante (Délibération n°SAN-2020-013 du 7 décembre 2020).

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

[:fr]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf

 [:en]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf
https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf[:]

Le RGPD en 10 questions

Le RGPD en 10 questions

Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

D’application immédiate (il n’est pas nécessaire que le législateur français adopte une loi pour le transposer), le RGPD pose un nouveau cadre de règles et vient en particulier renforcer les droits des personnes concernées par des traitements de données.

200 jours avant son entrée en application, il est temps de démystifier le RGPD et de faire le point sur les changements que le Règlement opère dans le traitement des données personnelles.

1- Le RGPD : Révolution ou continuité ?

Non, le RGPD n’est pas une révolution ! Il reprend les principes et préceptes existants tout en renforçant les droits des personnes physiques (information et consentement) et en imposant aux responsables de traitement de prendre en compte les aspects de protection des données personnelles dès la conception des produits et services (« privacy by design »). La sévérité des sanctions en cas de non-conformité (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) est, en revanche, une vraie révolution.

2 - A qui s’applique le RGPD ?

Peu de chances d’ « échapper » au RGPD, les responsables de traitement sont concernés par le Règlement dès lors que :
- Des données à caractère personnel font l’objet d’un traitement sur le territoire de l’Union européenne ;
- Le responsable de traitement ou le sous-traitant sont établis sur le territoire de l’Union européenne ;
- Les personnes concernées par le traitement sont des citoyens ou ressortissants européens.

3 - Qu’est-ce que le concept d’ « accountability » ?

L’une des notions phare du RGPD est le concept d' « accountability » selon lequel un responsable de traitement doit être en mesure d’attester et donc de démontrer à son autorité de contrôle qu’il se conforme à la réglementation applicable en matière de protection des données personnelles. En pratique, le régime des déclarations préalables à toute mise en œuvre d’un traitement auprès de la CNIL devrait disparaître pour être remplacé par un registre de traitements que l’entreprise tiendra à disposition de la CNIL en cas de contrôle. Cela implique que l’ensemble des traitements soient listés (et les flux de données cartographiés) et que le registre soit mis à jour régulièrement.

4 - Quelles sont les modifications en termes d’information et de consentement des personnes ?

La loi du 6 janvier 1978 dite « Loi Informatique et libertés » imposait déjà au responsable de traitement d’informer la personne physique de ses droits et de recueillir son consentement préalablement au traitement des données.
Le RGPD renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Autrement dit, le consentement ne peut se déduire d’une case pré-cochée ou d’une absence d’action. L’utilisateur peut le révoquer à tout moment.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le RGPD dispose que le responsable de traitement doit s'efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.
Il convient donc de mettre en place et de documenter les mesures techniques et organisationnelles appropriées afin de prouver que les principes mentionnés ci-dessus ont été pris en compte lors de la collecte des données personnelles.

5 - En quoi consiste une analyse d’impact ?

Recenser les traitements permet d’identifier les traitements comportant un risque élevé pour les droits et libertés des personnes compte tenu de leur nature, de leur portée, du contexte et des finalités du traitement. Dans une telle hypothèse, le responsable de traitement devra conduire une analyse d’impact sur la vie privée (« privacy impact assessment » ou « PIA ») afin d’identifier les risques probables d’atteinte aux droits des personnes, leur gravité, et les mesures adoptées ou devant être adoptées pour sécuriser le traitement.

6 - Est-ce obligatoire de nommer un Data Protection Officer ?

Le Data Protection Officer (« DPO »), ou Délégué à la Protection des Données, vise à remplacer l’actuel Correspondant Informatique et Libertés (« CIL »).
La désignation d’un DPO par le responsable de traitement sera obligatoire dans un certain nombre d’hypothèses :
- si le responsable de traitement appartient au secteur public ;
- Si son activité principale l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Si son activité principale l’amène à traiter à grande échelle des données particulières ou relatives à des condamnations pénales ou à des infractions.
Dans les autres cas, la désignation du DPO ne sera pas obligatoire, mais toutefois fortement recommandée pour s’assurer de la conformité au RGPD.

7 - Le droit à la portabilité des données, c’est nouveau ?

Le RGPD consacre le droit à la portabilité des données, et permet ainsi aux personnes concernées par les traitements de récupérer l’ensemble de leurs données fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers (par exemple, le transfert d’une playlist Spotify vers Deezer)
Ce droit a déjà été introduit en droit français par la loi pour une République numérique du 7 octobre 2016 aux articles L.224-42-1 à L.224-42-4 du Code de la consommation. Toutefois, dans l’attente d’un décret d’application, les modalités d’application de ce texte restent à préciser.

8 - Quel est le périmètre de l’obligation de notifier une faille de sécurité ?

Jusqu’ici applicable aux seuls fournisseurs de services de communications électroniques, le Règlement généralise l'obligation de notifier les violations de données à caractère personnel à la CNIL. Ainsi, toute violation de sécurité entrainant la destruction, la perte, l'altération, la divulgation des données à caractère personnel traitées devra être notifiée auprès de la CNIL dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après la prise de connaissance de la violation. En cas de sous-traitance du traitement des données, il convient donc d’imposer au prestataire une obligation de notification similaire au responsable de traitement.
En outre, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

9 - Quel est l’impact du RGPD sur les sous-traitants ?

Le RGPD renforce la responsabilité du sous-traitant dans le traitement des données du responsable de traitement. Ainsi, le sous-traitant devra notamment s’engager par écrit à n’agir que sur instructions documentées du client, informer régulièrement son client, garantir la confidentialité et la sécurité des données, justifier des mesures organisationnelles et techniques prises.
Si le sous-traitant manque à ses obligations ou les outrepasse, il sera susceptible d’engager sa propre responsabilité (ou conjointement avec le responsable de traitement) et d’être condamné au versement de dommages et intérêts puisque le Règlement pose le principe selon lequel toute victime d'une non-conformité « a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Au regard de ce qui précède, il est important de prêter une attention particulière à la rédaction des clauses « données personnelles » et « responsabilité » dans les contrats de sous-traitance.

10 - Comment se mettre en conformité ?

Faites le point sur les traitements de données personnelles de votre société :
quelles données sont collectées, comment les consentements sont-ils recueillis,
quelles informations sont communiquées aux personnes concernées,
comment sont traitées ces données (utilisation, hébergement, transfert à l’étranger, archivage, suppression…),
Interrogez-vous sur l’obligation, ou le cas échéant l’opportunité, de nommer un Data Protection Officer. Si un CIL a déjà été nommé au sein de la société, définissez ses futures missions en tant que DPO,
Revoyez les processus internes pour vous assurer de leur conformité au RGPD,
Listez vos contrats sous-traitants et revoyez-les afin de vous assurer de leur conformité au RGPD.