Google avait été identifié comme le moteur de recherche épuré, sobre avec sa page d’accueil vierge de toute publicité apparente et c’est sans doute un peu ironique de constater qu’il est devenu un géant du cookie publicitaire… finalement comme la vérité … la publicité est ailleurs.  

Le 7 décembre 2020, la CNIL a frappé un grand coup, en sanctionnant les deux géants du net Google et Amazon pour non-respect de la réglementation en matière de gestion des cookies pour un montant total de 135 millions d’euros.

En cause ? Le non-respect de la directive européenne ePrivacy, transposée en droit français par la Loi Informatique et Libertés du 6 janvier 1978.

La CNIL semble fort active en cette fin d’année puisqu’elle a également récemment sanctionné le géant de la grande distribution Carrefour pour non-conformité à la Loi Informatique et Libertés ainsi qu’au Règlement général sur la protection des données (RGPD), et ce, à hauteur de 3 millions d’euros.

La CNIL reproche aux deux géants informatiques d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche www.google.fr et de la marketplace www.amazon.fr sans consentement préalable ni information satisfaisante.

Synthèse de ce que l’on retient :

1.       Les conditions pour des cookies conformes au droit de l’Union et au droit français restent les même 

                     i.            Pas de dépôt de cookies publicitaires sans consentement préalable ;

                   ii.            Il faut une information directe, complète, claire et il doit être facile de retirer son consentement ;

                 iii.            Si l’utilisateur refuse le dépôt de cookies alors cette opposition doit être prise en compte.

2.       La compétence de la CNIL réaffirmée en matière de cookies déposés par des entreprises américaines

La CNIL affirme être compétente matériellement car le dépôt de cookies relève de la directive ePrivacy et non du RGPD, dès lors le mécanisme dit du guichet unique, qui aurait pu attribuer une compétence à une autre autorité, n’a pas vocation à s’appliquer.

La CNIL a considéré qu’elle était compétente territorialement car le recours à des cookies est effectué dans le « cadre des activités » des sociétés GOOGLE France et AMAZON France qui constituent chacune un « établissement » sur le territoire français.

3.       La qualification contractuelle est sans effet pour la CNIL 

La CNIL indique que la désignation contractuelle d’une entreprise comme étant un sous-traitant n’a aucune incidence sur son statut juridique vis-à-vis de l’autorité.

Dès lors ce qui est retenu est la réalité des faits : la qualification de responsable de traitement se déduit des faits et non de la qualification contractuelle.

La CNIL, comme tout juge, n’est donc pas tenue par la qualification retenue par les parties dans un contrat.

Faits et procédure :

Après une série de contrôles effectués en ligne sur le site web www.amazon.fr entre décembre 2019 et mai 2020 et sur le site web www.google.fr en mars 2020, la Commission a relevé que des cookies publicitaires étaient automatiquement déposés sur l’ordinateur de l’utilisateur et cela sans action de sa part.

Solution :

La CNIL a considéré qu’en déposant automatiquement des cookies sans information ni consentement préalable, Google et Amazon empêchaient nécessairement les internautes d’exprimer valablement leur consentement.

1)      Qui dit dépôt de cookies publicitaires dit consentement obligatoire

La Commission rappelle que seuls les cookies étant strictement nécessaires au bon fonctionnement du site sont exemptés du consentement de l’internaute. Les cookies déposés par Google et Amazon, n’étant pas essentiels au service, ils ne peuvent être déposés qu’après l’acceptation de l’utilisateur.

L’article 82 de la Loi Informatique et Libertés mis en cause dans ces affaires, dispose très clairement que le dépôt de cookies publicitaires ne peut se faire qu’après l’accord préalable de la personne concernée. Cette obligation de consentement, est d’autant plus renforcée par la définition donnée par le RGPD, selon laquelle le consentement se doit d’être recueilli de façon « libre, spécifique, éclairée et univoque ».

Ainsi la pratique des deux géants du net, de déposer des cookies publicitaires automatiquement à l’arrivée sur leur site était une pratique ne respectant pas le principe du consentement préalable.

2)      Une information claire avant tout

Le gendarme français des données relève aussi le manquement à l’obligation d’informer de façon « claire et complète » (article 82 de la Loi Informatique et Libertés), les utilisateurs de services de communications. Le défaut d’information des deux géants du numérique, se manifestait par l’absence d’informations directes ainsi que par des pratiques d’acceptation et de refus des cookies trop complexes.

·       Il est ainsi reproché à Google de ne pas informer suffisamment les internautes utilisant son moteur de recherche. En effet, malgré la présence d’un bandeau d’informations en pied de page, portant la mention « Rappel concernant les règles de confidentialité de Google », aucune information sur le dépôt automatique de cookies sur le terminal de l’utilisateur ne lui était fourni.

De plus, le droit d’opposition de l’utilisateur n’était pas respecté car malgré le refus de ce dernier, un cookie publicitaire était toujours stocké sur son terminal « l'information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d'être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser ».

·       Même constat du côté d’Amazon. De façon similaire, l’autorité de contrôle s’est rendue compte qu’en naviguant sur le site www.amazon.fr, le bandeau d’information ne présentait que d’une manière générale et approximative, les finalités des traceurs déposés, via la mention « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus ».  Ainsi l’internaute ne pouvait comprendre que les cookies déposés avaient pour objectif de lui proposer de la publicité personnalisée mais surtout qu’il lui était possible de les refuser.

Pire encore, lorsqu’un utilisateur arrivait sur le site www.amazon.fr en ayant cliqué sur une publicité provenant d’un site web tiers (par exemple : une liste de résultats dans un moteur de recherche), le défaut d’informations était encore plus accablant.

La CNIL précise en ce sens :

« A cet égard, à l’article 2 de sa recommandation de 2013, la Commission rappelait notamment que l’information devait être préalable au recueil du consentement mais également visible, mise en évidence et complète. En conséquence, la Commission recommandait aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes :

- première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

- seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience. »

3)      La compétence de la CNIL

Google remet en cause la compétence matérielle de la CNIL en vertu du « mécanisme de guichet unique » posé par le RGPD, selon lequel c’est l’autorité de contrôle irlandaise (DPC) en tant qu’autorité « chef de file », qui aurait dû se prononcer. On appelle « autorité chef de file », l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise.

Or Google Ireland Limited a son établissement principal en Irlande. En réponse, le régulateur français précise que le mécanisme de guichet unique ne s’applique pas en l’espèce car il ne concerne que les dispositions du RGPD. Or, l’utilisation des cookies est encadrée par la directive e-Privacy, transposée en droit interne par la Loi Informatiques et Libertés.

En ce sens, la CNIL indique notamment :

« L’avis du CEPD du 19 novembre 2020, invoqué par les sociétés dans leur note en délibéré du 2 décembre 2020, corrobore cette analyse dès lors que dans cet avis le CEPD se borne à appeler de ses vœux l’application du guichet unique au futur règlement, preuve qu’en l’état du droit positif, ce mécanisme ne s’applique pas aux dispositions cookies de la directive ePrivacy en vigueur. »

Concernant sa compétence territoriale, la Commission se fonde sur l’article 3 de la Loi précitée, qui dispose que « l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ». Ainsi le recours aux traceurs est considéré comme une activité de la société Google France qui constitue « l’établissement » sur le territoire français des sociétés Google LLC et Google Ireland Limited et y assure la promotion de leurs produits et services.

Le même raisonnement a été utilisé pour Amazon Europe Core, qui a pour établissement sur le territoire français Amazon France dont l’une des activités est le recours aux cookies. C’est cette même interprétation extensive des traitements effectués « dans le cadre des activités d’un établissement national lorsque le traitement est en partie sous la responsabilité d’un autre établissement présent au sein de l’Union européenne », qui avait était admis dans l’arrêt de la Cour de Justice de l’Union européenne Facebook Ireland Ltd.[1]

4) La responsabilité des traitements

La CNIL a considéré que Google LLC et Google Ireland Limited étaient deux responsables de traitement conjoints dans le cadre du dépôt des cookies sur le site www.google.fr.

Or, la firme de Mountain View a réfuté la responsabilité conjointe de traitement existante entre Google LLC et Google Ireland Limited, et ce notamment pour réduire le montant de la sanction pécuniaire. Elle a considéré que Google LLC, société mère, n’était qu’un sous-traitant car c’était ce qui était stipulé dans le contrat conclu entre Google LLC et Google Ireland Limited.

Cependant ce moyen fut contredit par la CNIL qui releva que les deux entités déterminent ensemble les finalités et les moyens liés à l’usage des cookies, faisant d’elles des responsables de traitement conjoints. La CNIL considère en outre que l’existence d’un contrat de sous-traitance entre Google LLC et Google Ireland Limited établissant que Google LLC n’est qu’un sous-traitant est sans valeur quant à la réelle qualification juridique de Google LLC :

« La formation restreinte considère que (…) malgré la prise d’effet du contrat de sous-traitance le 22 janvier 2019, la société GOOGLE LLC continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause. Elle détermine également les moyens du traitement étant donné que, comme évoqué ci-avant, c’est elle qui conçoit et construit la technologie des cookies déposés sur les terminaux des utilisateurs européens. Dès lors, la formation restreinte retient qu’il convient de lui attribuer également la qualité de responsable du traitement. »

5) Un bras de fer qui se poursuit …

C’est une véritable première car aucune autorité européenne n’avait sanctionné d’un tel montant un manquement aux règles encadrant le dépôt de cookies.

Google LLC est ainsi condamnée au paiement d’une amende de 60 millions d’euros et sa filiale Google Ireland Limited à une amende de 40 millions d’euros au motif d’un manquement aux principes de consentement, d’information et d’opposition en matière de dépôt de cookies.

Amazon est quant à elle, sanctionnée à payer 35 millions d’euros pour dépôt de traceurs sans consentement de l’utilisateur et cela peu important sa provenance.

La Commission justifie les montant des sanctions par le fait que Google en tant que principal moteur de recherche dispose d’une part de marché supérieure à 90% en France. De ce fait, alors que ces pratiques ont affecté près de 50 millions d’utilisateurs, Google a enregistré d’énormes bénéfices grâce aux « revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires ». Pour le porte-parole de la firme de Mountain View la décision de la CNIL « fait l'impasse sur les efforts du groupe en matière de transparence et de protection des utilisateurs. (…) Elle ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. (…) Nous poursuivons nos échanges avec la Cnil ».

De son côté Amazon dispose d’une part de marché de 20% en France. Ainsi le dépôt de cookies non consentis a permis au site d’e-commerce d’augmenter grandement sa visibilité et donc la consultation de ses produits. La firme d’e-commerce exprime aussi son désaccord, en affirmant que : « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons ».

Depuis Septembre 2020, la CNIL a relevé que le dépôt de cookies publicitaires sans le consentement des utilisateurs, n’est plus pratiqué par les deux géants. Cependant le bandeau d’information ne permet toujours pas de comprendre clairement les finalités des cookies publicitaires et notamment dans le cas de Google, la possibilité pour les internautes de refuser les traceurs.

Ainsi malgré les contestations des deux protagonistes à l’encontre des sanctions allouées à leur encontre, le temps est compté car ils ne disposent que de 3 mois pour se conformer aux exigences de la CNIL. A défaut ils s’exposeront à une pénalité de 100 000 euros par jour de retard.

Google et Amazon pourront ainsi s’aider des lignes directrices de la CNIL du 1er octobre 2020 ainsi que des recommandations portant sur l’usage des cookies et autres traceurs, afin de se conformer aux obligations en matière de publicité ciblée.

A noter que la nouvelle règlementation impose aux sites web d’afficher un bouton « tout accepter » et « tout refuser » lors du recueil du consentement aux cookies. Attention, à partir du 1er Avril 2021, la CNIL n’hésitera pas à sanctionner tout manquement à ces règles !

Retrouvez nos analyses sur les recommandations de la CNIL en matière de dépôt de cookies ainsi que les jurisprudences applicables :

Alerte publicité en ligne : la CNIL dit stop au dépôt de cookies sauvages

La réponse du Conseil d’état, en opposition à celle de la CJUE

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les décisions de la CNIL :

Décision CNIL/ Google LLC et Google Ireland Limited

Décision CNIL/Amazon Europe Core

[1] CJUE, 5 juin 2018, C-210/16

La commercialisation des données est un débat sans fin qu’Amazon n’a pas peur de relancer ! En effet, le géant américain vient de lancer un nouveau programme baptisé Shopper Panel qui récompense les consommateurs acceptant de partager leurs données d’achats.

Mais de quoi parle-t-on exactement ?

Amazon a décidé de solliciter les consommateurs en suivant leurs habitudes d’achats, en dehors de sa plateforme www.amazon.com, via l’application Amazon Shopper Panel. Amazon justifie cette démarche par la volonté d’améliorer ses services et de proposer des publicités plus ciblées.

L’entreprise de Jeff Bezos souhaite ainsi identifier quels sont les produits et services que le consommateur préfère acheter en dehors de sa plateforme.

Comment ça marche ?

Pour le moment cette application n’est disponible que pour les consommateurs américains, sur invitation.

Le consommateur doit envoyer 10 factures par mois pour tout achat effectué chez des commerçants autre qu’Amazon (la liste peut être très variée : épiceries, grands magasins, pharmacie, cinémas, restaurants).

Amazon indique que la collecte repose sur l’opt-in : le consommateur ne communique que les données qu’il a décidé de communiquer et peut à tout moment supprimer les reçus.

Quelles données ?

Les données pouvant figurer sur une facture sont notamment les nom, prénom, coordonnées de contact (email, téléphone, adresse postale). En outre, sur les factures de pharmacie, les médicaments achetés peuvent indiqur des informations sur l’état de santé de l’acheteur et sont donc considérées comme des données sensibles. Enfin, Shopper Panel étant une application, Amazon collecte notamment les données de connexions, le type de téléphone que le consommateur utilise ou encore le type de système d’exploitation utilisé.

Amazon indique néanmoins qu’elle supprimera les informations qu’elle considère comme sensibles, en précisant que tel est le cas pour les factures de pharmacie. Encore faut-il que cette suppression soit effective.

Le débat sur la commercialisation de données sensibles reste ouvert.

Quel est le prix de ces données ?

L’utilisateur du programme Amazon Shopper Panel recevra 10 dollars par mois, sous forme de solde Amazon ou de don de bienfaisance (le programme contient une liste limitative de 12 organisations caritatives bénéficiaires). Amazon indique qu’en répondant en plus à des enquêtes, les consommateurs pourront également bénéficier de récompenses supplémentaires, sans indiquer lesquelles.

Sources :  

https://advertising.amazon.com/en-us/blog/consumers-shop-omnichannel/

https://techcrunch.com/2020/10/20/amazon-launches-a-program-to-pay-consumers-for-their-data-on-non-amazon-purchases/

https://panel.amazon.com/