Le 19 décembre 2022¹, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction de 60 millions d’euros à l’encontre d’une société éditrice d’un moteur de recherche, en raison du non-respect des exigences posées par de la loi Informatique et Libertés transposant la directive « ePrivacy »² concernant le recueil du consentement aux cookies.
Un contrôle faisant suite au signalement d'un utilisateur
A la suite du signalement d’un utilisateur dénonçant les conditions de recueil de son consentement au dépôt de traceurs (cookies), la CNIL a réalisé deux contrôles en ligne, en septembre 2020 et en mai 2021, qui ont permis à celle-ci de constater que :
- dès l’arrivée sur le site internet et « avant toute action de la part de l’utilisateur, le cookie [dit] "MUID" était déposé sur le terminal de l’utilisateur » ;
- « après la poursuite de la navigation, sans que le consentement de l’utilisateur ait été recueilli », le cookie [dit] « ABDEF » était également déposé sur le terminal de l’utilisateur ;
- enfin, pour les cookies soumis à consentement, le mécanisme de refus n’était pas aussi simple d’utilisation que le mécanisme de consentement.
Les manquements concernant le recueil préalable du consentement au dépôt de certains cookies
Après avoir examiné la question de sa compétence territoriale, la formation restreinte de la CNIL commence par se prononcer sur le manquement à l’obligation de recueil du consentement en ce qui concerne le cookie « MUID ».
D’après les informations communiquées par l’éditeur du moteur de recherche, il s’agissait d’un cookie multi-finalités utilisé à des fins dites « essentielles » et « non essentielles » : lutte contre la fraude y compris publicitaire, sécurité, détection des logiciels malveillants, lutte contre la désinformation et présentation de publicités.
L’éditeur soutenait qu’en l’absence de consentement, conformément à la règlementation, seules les finalités « essentielles » non soumises à consentement étaient activées, dont la publicité non ciblée dans le cadre de la lutte contre la fraude publicitaire.
La CNIL rappelle effectivement, dans sa décision, qu’en application de l’article 82 de la loi Informatique et Libertés, transposant l’article 5.3 de la directive « ePrivacy », certains traceurs bénéficient d’une exemption au consentement lorsque ces derniers:
- ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou
- sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Ce sont les traceurs poursuivant des finalités dites « essentielles ».
Elle relève, par ailleurs, que d’après ses lignes directrices du 17 septembre 2020 : « l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées ».
Elle constate ensuite que le cookie déposé par défaut avait notamment pour finalité la lutte contre la fraude publicitaire, c’est-à-dire l’ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par l’éditeur du moteur de recherche.
Or, selon la CNIL, cette finalité s’inscrit dans celle plus large de la diffusion publicitaire, qui recouvre l’ensemble des techniques publicitaires consistant à proposer des contenus publicitaires en fonction du contexte dans lequel se trouve l’individu exposé au message. Elle n’impacte, en conséquence, pas la fourniture du service du moteur de recherche aux utilisateurs.
En effet, pour la Commission, l’éditeur « opère une confusion entre la diffusion de contenus malveillants par les services de publicité du moteur de recherche, qui relève de la gestion interne de la société, et la détection de la fraude opérée par des bots, qui permet de lutter contre la création artificielle de clics sur des contenus publicitaires (…) qui est désignée comme étant la lutte contre la fraude publicitaire. »
Au vu de ses éléments, la CNIL considère que les cookies ayant une finalité de lutte contre la fraude publicitaire ne remplissent aucune des conditions prévues pour les deux exceptions précitées, dès lors que la publicité n’est pas le service demandé par l’utilisateur.
De ce fait, l’éditeur a méconnu ses obligations concernant le recueil du consentement des utilisateurs.
Dans un second temps, la CNIL constate que le cookie « ABDEF » - présenté par l’éditeur comme « mal catégorisé (…) en raison d’une simple inadvertance » - avait une finalité publicitaire.
Par conséquent, elle estime que l’éditeur a également méconnu ses obligations concernant le recueil du consentement des utilisateurs sur ce point.
Les manquements concernant les conditions de recueil du consentement
En ce qui concerne les conditions de recueil du consentement des utilisateurs à l’utilisation des autres cookies non essentiels, le rapporteur a par ailleurs relevé que si le bandeau cookies affiché contenait un bouton permettant d’accepter immédiatement les cookies, aucun moyen similaire n’était offert à l’utilisateur pour pouvoir refuser « facilement et en un seul clic » le dépôt de ces cookies.
Sur ce point, l’éditeur avançait qu’il était possible pour l’internaute de refuser les cookies en s’abstenant de cliquer sur le bouton « Accepter » pour poursuivre sa navigation. La société soutenait ainsi qu’il était aussi facile de refuser que de consentir au dépôt de traceurs.
Cependant, la CNIL rappelle que depuis l’entrée en application du RGPD, le consentement demandé par la directive ePrivacy (ou l’article 82 de la loi Informatique et Libertés), doit être conforme aux conditions imposées par le RGPD et notamment ses articles 4 § 11 et 8. Il en résulte que le consentement doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair. Par ailleurs, la demande doit être compréhensible, aisément accessible et formulée de manière claire et simple. Le considérant 42 du RGPD précise que l’utilisateur doit bénéficier d’une « véritable liberté de choix ».
Faisant référence aux lignes directrices précitées, la CNIL rappelle également qu’il est possible de déduire du silence de l’internaute son refus de consentir aux cookies, mais à condition qu’il en soit pleinement informé. A défaut, « l’équilibre entre les modalités d’acceptation et de refus n’est pas respecté ».
Dès lors, selon la CNIL, un tel équilibre n’est pas établi par le simple fait que l’absence de choix exprimé par l’utilisateur lors de la visualisation du bandeau cookies ait eu pour effet de ne déposer aucun cookie non essentiel, puisque le bandeau d’information ne contenait aucune information en ce sens.
En outre, au cas d’espèce, les moyens permettant de refuser les cookies étaient ambigus, ce qui pouvait, selon la CNIL, amener l’utilisateur à penser que les cookies étaient par défaut autorisés.
La Commission considère, par conséquent, que l’éditeur du moteur de recherche a manqué aux dispositions de l’art. 82 de la Loi Informatique et Libertés, interprétées à la lumière du RGPD, dans la mesure où, au moment du contrôle en ligne et jusqu’à la mise en place d’un bouton « Tout refuser », l’utilisateur n’avait pas la possibilité de refuser le dépôt des cookies avec le même degré de simplicité qu’il avait de les accepter.
La sanction prononcée par la CNIL
Les éléments qui précèdent ont conduit la CNIL à prononcer une sanction de 60 millions d’euros à l’encontre de l’éditeur du moteur de recherche.
A titre de sanction complémentaire, la Commission a adopté une injonction sous astreinte afin que la société recueille, dans un délai de trois mois, le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire. Dans le cas contraire, l’éditeur s’expose au paiement d’une astreinte de 60 000 euros par jour de retard.
A retenir
Cette décision illustre encore une fois l’importance d’identifier et qualifier chaque finalité poursuivie via des cookies – en particulier en cas de cookies multi-finalités comme en l’espèce - ainsi que l’attention particulière à apporter aux conditions de collecte du consentement.
Le dépôt de traceurs et le traitement de données correspondant se voient uniquement dispensés du consentement de l’internaute lorsque l’intégralité des finalités poursuivies sont rattachées à l’une des exceptions de l’article 5.3 de la directive « ePrivacy » précitées.
En cas de doute sur la nécessité de collecter le consentement et, le cas échant, sur les modalités de sa collecte, nous vous rappelons l’utilité de vous référer à la documentation approfondie publiée par la CNIL : ses lignes directrices³, ses recommandations complémentaires⁴, mais aussi ses questions-réponses publiées ultérieurement⁵. De nombreux exemples de finalités soumises ou non à consentement, ainsi que des informations précises et pratiques sur les modalités de collecte du consentement sont proposés.
