Par deux délibérations du 7 décembre 2020, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé des sanctions pécuniaires à l’encontre de plusieurs sociétés pour des manquements relatifs à l’information et au consentement préalables des internautes au dépôt et à la lecture de cookies (Délibération SAN-2020-013 du 7 décembre 2020, Délibération SAN-2020-012 du 7 décembre 2020).
Quelles sont les pratiques qui ne permettent pas de fournir une information claire et complète ? Quels points d’attention sur la gestion de l’opposition au dépôt et à la lecture des cookies ?
Bref rappel sur les faits
L’une des sociétés sanctionnées est spécialisée dans la vente en ligne de biens marchands. Les deux autres sociétés sanctionnées appartiennent quant à elles à un même groupe qui fournit à titre principal un service de moteur de recherche en ligne ainsi qu’une boite de courrier électronique, un service de cartographie en ligne et une plateforme de partage de vidéos.
Dans le cadre de leurs activités respectives, les sociétés en question mettent en œuvre des opérations d’écriture et de lecture de cookies sur le terminal des internautes, notamment à des fins publicitaires.
Ces opérations ont fait l’objet de contrôles par les agents de la Cnil fin 2019 et début 2020, avant la publication de nouvelles délibérations de la Cnil du 17 septembre 2020.
Absence de recueil du consentement avant le dépôt et la lecture de cookies
A l’arrivée sur la page d’accueil, plusieurs cookies publicitaires étaient automatiquement déposés sur le terminal des internautes, à savoir quatre cookies publicitaires pour le moteur de recherche et quarante cookies publicitaires pour le site de vente en ligne.
En ce qui concerne le site de vente en ligne, la formation restreinte souligne que les cookies en question étaient déposés à partir de la poursuite de la navigation, qui ne constitue plus une pratique valable depuis la délibération n°2019-093 du 4 juillet 2019. La formation restreinte ajoute que « quand bien même le paramétrage du navigateur peut dans certains cas constituer un mécanisme valable du recueil du consentement, c’est à la condition que l’utilisateur ait été préalablement informé qu’il dispose de cette possibilité, ce qui n’est pas le cas en l’espèce ».
Or, il convient de noter que, depuis la délibération de juillet 2019 précitée, la Cnil estime que le paramétrage du navigateur ne permet pas à l’utilisateur de manifester un consentement valide. Ainsi, il est étonnant que la formation restreinte considère que dans certains cas, un tel paramétrage peut constituer un mécanisme de recueil du consentement valable.
Absence d’information claire et complète sur les finalités et les moyens de refuser
- Mise en place de plusieurs fenêtres surgissantes et de liens hypertextes
Concernant les pratiques du moteur de recherche, la formation restreinte relève qu’à l’arrivée sur la page d’accueil, un bandeau d’information s’affichait et contenait la mention « Rappel concernant les règles de confidentialité de [Société] », accompagnée de deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ». Ainsi, aucune information relative au dépôt de cookies publicitaires n’était fournie, ledit bandeau d’information renvoyant uniquement aux règles de confidentialité du moteur de recherche.
Par ailleurs, les fenêtres qui s’ouvraient à partir du bouton « Consulter maintenant » ne contenaient pas non plus d’informations relatives aux cookies, mais uniquement une information générale relative au traitement des données à caractère personnel par le moteur de recherche.
Ainsi, selon la formation restreinte « l’architecture informationnelle mise en place par les sociétés était telle que pour y parvenir l’utilisateur devait comprendre par lui-même qu’il fallait faire défiler le contenu de toute la fenêtre surgissante, sans cliquer sur l’un des cinq liens hypertextes figurant dans ce contenu (…) pour finalement cliquer sur le bouton Autres options figurant tout en bas de la fenêtre ».
- Utilisation de termes généraux sans préciser les types de contenus ou d’annonces susceptibles d’être personnalisés
La formation restreinte précise que, depuis l’engagement de la procédure de sanction, le moteur de recherche a mis en œuvre des mesures correctrices. A ce titre, il a notamment modifié le bandeau d’information qui expose désormais les finalités de manière suivante :
« [La société] utilise des cookies et d’autres données pour fournir, gérer et améliorer ses services et annonces. Si vous acceptez, nous personnaliserons le contenu et les annonces que vous voyez en fonction de votre activité sur les services [de la société]. »
Toutefois, la formation restreinte estime que cela ne permet pas de comprendre « le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement – par exemple, s’il s’agit de la publicité géolocalisée –, la nature exacte des services (…) qui recourent à la personnalisation ni le fait que cette personnalisation opère entre ces différents services ».
Un constat similaire a également été fait au regard de l’information fournie par le site de vente en ligne. En effet, lors de la connexion audit site, le bandeau d’information qui s’affichait comportait la mention suivante :
« En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus ».
Ici encore, la formation restreinte considère que les termes employés ne permettent pas à l’internaute de comprendre « le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement ».
- Absence de précision sur les moyens de refuser le dépôt et la lecture de cookies
Ni le moteur de recherche, ni le site de vente en ligne n’informaient les internautes de la possibilité et des moyens de refuser les cookies publicitaires.
Concernant le moteur de recherche, si ce dernier avait mis en place des mesures correctrices au cours de la procédure de sanction, l’information sur les moyens de refuser les cookies n’était toujours pas suffisante selon la formation restreinte. En effet, le nouveau bandeau d’information contenait des boutons « Options » et « Plus d’informations » que la formation restreinte considère comme n’étant pas « assez explicites pour permettre aux utilisateurs de comprendre directement l’étendue de leurs droits ».
- Utilisation d’icônes sur les publicités affichées sur les sites tiers redirigeant les internautes vers le site à l’origine du dépôt de cookies
La formation restreinte relève également le manquement à l’obligation d’information du site de vente en ligne lors de la connexion audit site par le biais d’un site tiers. En effet, aucune information n’était fournie quant au dépôt et à la lecture de cookies lorsque les internautes consultaient le site à partir des résultats de recherche ou d’une annonce publicitaire.
En défense, la société faisait valoir que les annonces affichées sur les sites tiers contenaient une icône à partir de laquelle les internautes pouvaient consulter les informations relatives aux cookies.
Toutefois, la formation restreinte précise « qu’il ne peut être raisonnablement attendu de l’utilisateur auquel est présenté une publicité qu’il ait le réflexe de cliquer sur une icône de taille réduite avant de cliquer sur la publicité elle-même. » Elle ajoute qu’en tout état de cause, la page qui s’ouvrait à partir de cette icône ne contenait qu’une case à cocher, sans aucune information relative aux cookies.
Absence de mise en place d’un mécanisme d’opposition effectif
La formation restreinte souligne la défaillance partielle du mécanisme d’opposition mis en place par le moteur de recherche.
En effet, la fenêtre surgissante à partir du bandeau d’information permettait de désactiver la « Personnalisation des annonces sur la recherche [Société] » et la « Personnalisation des annonces sur le web » au moyen de deux boutons glissants. En revanche, plusieurs cookies publicitaires demeuraient actifs malgré la désactivation de ces deux boutons.
Par ailleurs, l’un des cookies n’appartenait pas à la catégorie des cookies dits d’opposition. Etant rappelé que ces derniers sont stockés dans le terminal de l’internaute avec la valeur « opt-out », permettant de garder son choix et d’empêcher le dépôt de futurs cookies identiques. En l’espèce, le cookie en question était utilisé à des fins exclusivement publicitaires et demeurait actif sans attribution de la valeur « opt-out ». Par conséquent, les informations que ce cookie contenait continuaient d’être lues à chaque interaction avec le domaine dont il relève.
Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre conformité.