La demande de la Commission nationale de l'informatique et des libertés est simple. Les internautes doivent pouvoir refuser les cookies aussi simplement qu’ils les accepteraient. Aujourd’hui, une quarantaine d’organisations (privées et publiques) ont été mis en demeure pour pratiques non conformes dans le cas d’un recours aux cookies, faisant suite à la liste de 20 autres organismes dans le viseur de la Cnil depuis mai dernier. La présidente de la commission indique que les entreprises ciblées ont jusqu’au 6 septembre 2021 pour se mettre en conformité.
Parmi elles, on retrouve une liste non exhaustive des types d’organismes visés, « quatre plateformes majeures de l’économie numérique ; six fabricants majeurs de matériel informatique et de logiciels ; six sociétés de vente en ligne de biens de grande consommation ; deux acteurs majeurs du tourisme en ligne ; trois sociétés de location de véhicules ; trois acteurs majeurs du secteur bancaire ; deux importantes collectivités locales ; deux services publics en ligne ; un acteur de l’énergie ».
Les GAFA en ligne de mire et d'autres contrôles à prévoir
« Les quatre plateformes majeures de l’économie numérique » laissent présager que les GAFA seraient en tort et pourraient bien être sanctionnés par la Cnil s’ils ne changent pas de politique de cookies d’ici début septembre. Selon nos recherches, la société de location de véhicules, Sixt, pourrait également faire partie de la liste des organismes épinglés par la Cnil, la mention « tout refuser » ou « continuer sans accepter » n’apparaissant nulle part. Nous avons utilisé Cookiebot pour vérifier sa conformité aux règlements européens sur l'usage des cookies et traceurs en ligne. L’outil permet d’analyser un site et s’occupe de la conformité, de la surveillance et du contrôle de sa politique de cookies.
Cette seconde campagne de mesures vient compléter les procédures en cours de la Cnil et qui sont susceptibles d’aboutir à des amendes pouvant aller jusqu’à 2 % du chiffre d’affaires de l’organisme visé. La politique de contrôle du régulateur s’inscrit dans la durée. Ainsi, L’organe de contrôle indique que « d’autres campagnes de vérifications et de mesures correctrices seront ainsi menées à la rentrée afin d’assurer le respect de la vie privée des internautes français. Il s’agit d’assurer l’effectivité du travail initié par la CNIL depuis 2 ans et qui s’est notamment concrétisé, le 1er octobre 2020, par l’adoption des lignes directrices et d’une recommandation ».