L’année 2022 démarre sur les chapeaux de roues pour la CNIL qui vient d’infliger des amendes de 150 millions d’euros à Google (90 millions pour Google LLC et 60 millions pour Google Ireland) et 60 millions à Facebook. Les deux sociétés sont condamnées pour la même raison : la gestion des cookies et plus exactement les modalités de refus des cookies.

Une autre amende pour le récidiviste Google

Dans l’affaire présente, la commission a reçu plusieurs plaintes en 2021 concernant les modalités de refus de cookies sur les sites « Google.fr » et « Youtube.com ». Lors d’une enquête, la Cnil a constaté que si les sites « proposent un bouton permettant d’accepter immédiatement les cookies, les sites ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement le dépôt des cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter ». Elle assortit donc son amende d’une injonction sous astreinte (100 000 euros par jour de retard) de mettre en place sous 3 mois «un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement ».

Pour sa défense, Google fait référence à une autre sanction infligée en décembre 2020 concernant là aussi la politique des cookies. Il avait alors écopé d’une amende de 100 millions d’euros par la Cnil (décision contestée en plein contentieux devant le Conseil d’Etat). La firme met en avant le principe juridique « non bis non idem » où on ne peut pas être poursuivi ou puni pénalement à raison des mêmes faits. Un argument écarté par la formation restreinte de la Cnil en soulignant que la procédure de 2020 « comportait une injonction relative à l’information des utilisateurs sur les finalités des cookies soumis au consentement et sur les moyens de refuser les cookies. La procédure actuelle porte sur les modalités de refus elles-mêmes, et non uniquement sur l’information. Ainsi, les deux procédures ne concernent pas les mêmes faits. »

Un bouton de refus prêtant à confusion pour Facebook

Dans le cadre de Facebook, les causes de la condamnation sont similaires à savoir les modalités de refus des cookies. Le réseau social « propose un bouton permettant d’accepter immédiatement les cookies mais il ne propose pas de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement le dépôt des cookies ». Pour ne pas accepter les cookies, l’utilisateur doit effectuer plusieurs clics et, comble du comble, le bouton de refus s’intitule « Accepter les cookies ». Un mécanisme qui revient à décourager les personnes à user de leur droit de refus et une violation au titre de l’article 82 de la loi Informatique et Libertés.

La formation restreinte de la Cnil justifie aussi le montant de l’amende par la portée du traitement, par le nombre de personnes concernées et par les bénéfices considérables que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies. Comme pour Google, le régulateur ordonne à Facebook de mettre en place un moyen pour simplifier le refus des cookies. Là encore, la société a 3 mois pour s’y conformer, sinon une astreinte de 100 000 euros par jour sera appliquée.