Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Cookies : la CNIL sanctionne Google et Facebook pour non-respect des règles relatives au refus des cookies

Le 31 décembre 2021, la CNIL a prononcé une sanction à l’encontre de deux sociétés du Groupe GOOGLE (GOOGLE LLC et GOOGLE IRELAND LIMITED) et la société FACEBOOK IRELAND LIMITED en raison d’un manquement à l’article 82 de la loi informatique et libertés du 6 janvier 1978 telle que modifiée.

La CNIL indique avoir reçu plusieurs plaintes concernant les modalités de refus d’utilisation des cookies sur les sites internet suivants :

  • facebook.com ;
  • google.fr ;
  • youtube.com.

A la suite de contrôles, la CNIL a constaté que les sites internet précités proposaient un bouton d’acceptation des cookies mais aucune solution équivalente afin de permettre aux internautes de refuser les cookies.

Plusieurs clics des internautes étaient nécessaires pour refuser la totalité des cookies tandis qu’un seul clic sur le bouton prévu à cet effet (« j’accepte » ou « Accepter les cookies ») suffisait pour tous les accepter.

La CNIL a considéré que les internautes ne pouvaient refuser l’utilisation des cookies aussi simplement qu’ils les acceptaient. Un processus complexe de refus des cookies revient à décourager les utilisateurs et les incite à accepter les cookies par facilité. Or, une telle pratique porte atteinte à la liberté du consentement des internautes et constitue une violation de l’article 82 de la loi Informatique et Libertés.

En conséquence, la CNIL a prononcé les sanctions financières suivantes :

  • 150 millions d’euros à l’encontre de GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED);
  • 60 millions d’euros à l’encontre de la société FACEBOOK IRELAND LIMITED.

La CNIL a également enjoint les sociétés de se mettre en conformité dans un délai de 3 mois et de mettre en place une solution permettant aux internautes situés en France de refuser les cookies aussi simplement que de les accepter. A défaut, les sociétés devront payer une astreinte de 100.000 euros par jour de retard.

Délibération SAN-2021-024 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Délibération SAN-2021-023 du 31 décembre 2021 – Légifrance (legifrance.gouv.fr)

Cookies et traceurs CNIL

Cookies et traceurs CNIL

La CNIL a récemment publié de nouvelles recommandations et lignes directrices sur les cookies et traceurs (délibérations n°2020-091 et 2020-092 du 17 septembre 2020).
Les acteurs disposent d’un délai de 6 mois pour se mettre en conformité avec les nouvelles règles applicables, soit au plus tard à fin mars 2021.

Cookies : comment informer et quelle information communiquer aux internautes ?

Les internautes doivent clairement être informés, d’une part, des finalités des cookies et traceurs avant de consentir ou refuser ces derniers et, d’autre part, des conséquences qui s’attachent à une acceptation ou un refus de ces cookies et traceurs.
Par ailleurs, les internautes doivent être informés de l’identité de tous les acteurs utilisant des cookies et traceurs soumis au consentement. Cela implique d’indiquer précisément les sociétés tierces et partenaires utilisant des cookies et traceurs via le site internet.
Enfin, la CNIL précise qu’un certain nombre de cookies et traceurs nécessaires sont exemptés de consentement (choix de la langue, authentification, …).

Comment se matérialise le consentement et le refus des cookies ?

Le principe reste que les internautes doivent consentir au dépôt des cookies sur leur terminal.
Le consentement doit être matérialisé par un acte positif clair (par exemple, en cliquant sur un bouton « j’accepte »).
Ainsi, la simple poursuite de la navigation sur un site internet ne peut plus être considérée comme une expression valide du consentement au dépôt de cookies.
Ne constitue pas non plus un consentement valide une case pré-cochée sur le site internet car cela implique a contrario que l’utilisateur décoche la case pour refuser de donner son consentement. La CJUE avait précisé dans cette même décision que l’obligation de requérir le consentement de l’utilisateur au dépôt des cookies s’applique que les cookies traitent ou non des données personnelles (CJUE, 1er octobre 2019, C‑673/17).
Les internautes doivent également pouvoir refuser les cookies lorsqu’ils ne sont pas strictement nécessaires au fonctionnement du site ou à un service demandé par les utilisateurs. Dans ses lignes directrices, la CNIL précise que refuser les cookies et traceurs doit être aussi aisé que de les accepter.
L’autorité de contrôle recommande ainsi un parallélisme des formes. Par exemple, l’interface de recueil du consentement pourrait comprendre non seulement un bouton « tout accepter » mais également un bouton « tout refuser ».
Le refus des cookies doit pouvoir être exprimé à tout moment.

Comment paramétrer les cookies et traceurs ?

Les internautes doivent consentir ou refuser les cookies et traceurs en fonction de leur finalité, et ce à tout moment.
En début de navigation, un bandeau ou un pop-up permettant de paramétrer les cookies et traceurs doit apparaître sur le site internet.
A tout moment, les internautes doivent pouvoir modifier ces choix. Il est en conséquence recommandé de mettre à disposition sur le site les moyens de gérer facilement ses préférences relatives aux cookies. Cela peut prendre la forme d’un lien « Gérer mes cookies / Modifier mes préférences cookies » ou d’un module de paramétrage placés dans une zone visible du site internet (par exemple en bas à gauche de l’écran) ou encore d’une icône « cookie » visuellement explicite.

Quelle est la durée de conservation des choix de l’utilisateur ?

La CNIL recommande de conserver les choix exprimés en matière de cookies par l’internaute, tant pour son consentement que pour son refus. La durée de conservation des choix doit être appréciée selon le contexte et la nature du site internet. Cependant, la CNIL indique qu’une durée de 6 mois (contre 13 mois auparavant) constitue une bonne pratique. Si le consentement avait été sauvegardé, cela implique d’obtenir à nouveau le consentement des utilisateurs au terme de cette période.

Quelle est la politique de contrôle de la CNIL ? Quelles sont les sanctions en cas de non-respect des lignes directrices ?

Jusque fin mars 2021, la CNIL procèdera à des actions de contrôle de respect des principes précédemment exposés dans sa recommandation de 2013. C’est dans ce cadre qu’elle a récemment sanctionné les sociétés Carrefour, Google et Amazon (cf notre encadré).
A compter d’avril 2021, la CNIL s’assurera de l’application des nouvelles lignes directrices par les responsables de traitement.
En cas de non-respect des lignes directrices, les sanctions qui pourront être prononcées sont celles fixées dans le RGPD et la loi Informatique et libertés modifiée, c’est-à-dire, notamment une sanction financière pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu..

Le Cabinet MVM Avocats est à votre disposition pour vous accompagner dans la mise en conformité de votre site internet aux nouvelles lignes directrices en matière de cookies et de traceurs.

Dernières sanctions en matière de non-respect des recommandations relatives aux cookies :

CARREFOUR France ET CARREFOUR BANQUE : La CNIL a prononcé une sanction de 2 250 000 euros et de 800 000 euros à l’encontre des sociétés CARREFOUR FRANCE et CARREFOUR BANQUE en raison, notamment, d’un manquement à la règlementation relative aux cookies. Plusieurs cookies (dont des cookies publicitaires) étaient automatiquement déposés, avant toute action de sa part, sur le terminal de l’utilisateur qui se connectait aux sites internet des sociétés. Le consentement de l’utilisateur aurait dû être recueilli avant le dépôt (Délibérations n° SAN-2020-008 et n° SAN-2020-009 du 18 novembre 2020).

GOOGLE LLC et GOOGLE IRELAND LTD : La CNIL a prononcé une sanction d’un montant total de 100 millions d’euros à l’encontre des sociétés GOOGLE , en raison (i) du dépôt de cookies publicitaires sur les terminaux des utilisateurs du moteur de recherche sans consentement préalable ni information satisfaisante, et (ii) d’un mécanisme d’opposition défaillant : malgré la modification de ses paramètres par l’utilisateur, un cookie publicitaire demeurait stocké sur son ordinateur (Délibération n°SAN-2020-012 du 7 décembre 2020).

AMAZON EUROPE CORE : La CNIL a prononcé une sanction de 35 millions d’euros à l’encontre de la société AMAZON pour avoir déposé des cookies publicitaires sur les terminaux des utilisateurs à partir du site amazon.fr sans consentement préalable ni information satisfaisante (Délibération n°SAN-2020-013 du 7 décembre 2020).

Contrôles de la CNIL en 2020, quelle stratégie ?

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

A la suite de l’entrée en vigueur du RGPD le 25 mai 2018, la CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019 : lien).

Toutefois, la CNIL a indiqué que ces lignes directrices devaient être complétées par de nouvelles recommandations.

Début 2020, la CNIL a ainsi publié un projet de recommandations « Cookies et autres traceurs » concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des traceurs.

Ce projet de recommandations a été soumis à une consultation publique qui a pris fin le 25 février 2020. Une version définitive des recommandations devait être quant à elle publiée début avril 2020.

Cependant, en raison de la crise du Covid-19, la CNIL a décidé de reporter l’adoption de la version définitive des recommandations et aucune date n’a aujourd’hui été fixée par la CNIL.

La CNIL avait d’ores et déjà précisé en juillet 2019 que les éditeurs de sites internet faisant usage de cookies disposeraient d’un délai de six mois à compter de la publication de la nouvelle version des recommandations pour adapter leurs pratiques et se mettre en conformité avec la nouvelle règlementation.

RGPD – D Day!!!

RGPD – D Day!!!

[:fr]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:en]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:]