Ces deux délibérations de la CNIL traitent d’abord de la compétence matérielle de cette dernière, contestée par Google et Amazon au profit de celle de l’autorité « Chef de file » prévue par le RGPD, et de sa compétence territoriale, également contestée par les « GA ». Sans développer le raisonnement, complexe, indiquons seulement que la disposition légale en cause sur le fond, l’article 82 de la loi Informatique & Libertés, est la transposition en droit français de l’article 5 (3) de la Directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy », en sorte que les règles pertinentes relatives à la compétence ne sont pas celles du RGPD mais celles, supplétives en quelque sorte, de la loi Informatique et Libertés. Et ces dispositions permettent à la CNIL de décider qu’elle est compétente aussi bien au plan matériel que territorial.
Sur le fond, on sait que l’article 82 précité subordonne l’implantation de cookies ou autres traceurs, qui permettent soit de stocker des informations sur le terminal d’un utilisateur soit d’y accéder (quel que soit ce terminal : ordinateur, tablette, téléphone, ordinateur de bord d’une voiture, etc.), au consentement préalable de ce dernier, qu’il doit donner après avoir reçu une information « claire et complète » notamment sur les finalités des traitements ainsi opérés et les moyens dont il dispose pour s’y opposer. Cela sous réserve des exceptions limitativement prévues par la loi en faveur des cookies (i) ayant pour finalité exclusive de faciliter la communication ou (ii) nécessaires à la fourniture du service, dont ne font pas partie les cookies publicitaires.
Or, les contrôles de la CNIL avaient établi que plusieurs cookies publicitaires étaient déposés sur le terminal de l’utilisateur dès sa première visite sur les sites du moteur de recherche de Google et de vente en ligne d’Amazon, avant tout action de sa part.
Cela suffisait à entrer en voie de condamnation puisqu’à l’évidence, l’exigence du consentement ne pouvait être respectée.
Mais la CNIL insiste également sur le défaut ou l’insuffisance d’information préalable. Dans le cas d’Amazon, le bandeau présent sur le site indiquait que des cookies étaient déposés afin « offrir et améliorer les services », suivie d’un lien « En savoir plus » : information trop vague et donc insuffisante aux yeux de la CNIL, car l’utilisateur n’est pas en mesure de comprendre, à la lecture du bandeau, « le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement ».
Et elle décide que, lorsque l’utilisateur arrive sur le site d’Amazon via une publicité diffusée sur un site tiers, l’icône « Adchoices » présente sur la publicité, sur laquelle il faut cliquer pour accéder à des informations relatives aux cookies, équivaut à une absence d’information, car on ne peut « raisonnablement attendre » de l’utilisateur qu’il clique sur une telle icône.
Dans le cas de Google, la CNIL juge que le renvoi à la politique de confidentialité est insuffisant, d’autant que cette politique ne contenait elle-même aucune disposition relative aux cookies ; pour accéder à ces dernières, il fallait faire défiler toute la politique de confidentialité sans cliquer sur les divers liens proposés, pour découvrir en bas de page un lien « Autres options » qui menait enfin aux informations relatives aux cookies. Selon la CNIL, cette « architecture informationnelle » ne permettait aux utilisateurs d’être clairement et préalablement renseignés sur les opérations réalisées via les cookies.
Les interfaces de recueil du consentement en matière de cookies dont l’usage se généralise aujourd’hui, conformément aux lignes directrices de la CNIL du 4 juillet 2019 (qui existaient déjà lors des faits litigieux !) modifiées le 17 septembre 2020, permettent en principe de répondre aux exigences légales. Mais encore faut-il (i) y recourir, ce qui n’est pas toujours le cas notamment en matière de publicités sur mobile et (ii) que l’information fournie par leur intermédiaire, en particulier sur la finalité des cookies, soit suffisamment claire et précise.
Les sanctions sont lourdes : outre la publication des décisions et l’injonction de se conformer aux règles applicables sous astreinte de 100.000 euros par jour (quand même), les sociétés Google sont condamnées à 100 millions d’euros d’amende, et Amazon à 40 millions d’euros.
Alors que la CNIL a annoncé que le délai de mise en conformité à la dernière version de ses lignes directrices expirerait fin mars 2021, ces condamnations rappellent qu’il ne faut pas plaisanter avec les cookies.