Retour aux articles du blogLa CNIL a sanctionné les sociétés Google LLC et Google Ireland LTD d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante (Délibération SAN 2020-012 du 7 décembre 2020).
Après s’être déclarée :
- matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés Google LLC et Google Ireland LTD sur les ordinateurs des utilisateurs résidant en France, en soulignant qu’en l’espèce le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés ; et
- territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société Google France qui constitue « l’établissement » sur le territoire français des sociétés Google LLC et Google Ireland LTD et y assure la promotion de leurs produits et services.
La CNIL a relevé la commission des trois infractions suivantes à la loi Informatique et Libertés par Google :
- Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur. Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.
- Un défaut d’information des utilisateurs du moteur de recherche google.fr. Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ». Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site.
- La défaillance partielle du mécanisme « d’opposition ».
La CNIL a sanctionné la société Google LLC à une amende de 60 millions d’euros et la société Google Ireland LTD à une amende de 40 millions d’euros compte tenu de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés, outre que ces pratiques ont affecté près de cinquante millions d’utilisateurs.
En complément des amendes administratives, la CNIL a également enjoint sous astreinte de 100 000 euros par jour de retard, les sociétés Google à procéder à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de sa décision.
Le même jour, la CNIL a également sanctionné la société Amazon Europe Core d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr sans consentement préalable et sans information satisfaisante (Délibération SAN 2020-013 du 7 décembre 2020).
La CNIL a relevé deux violations à l’article 82 de la loi Informatique et Libertés :
- Un dépôt de cookies sans recueillir le consentement de l’utilisateur. La CNIL a constaté que lorsqu’un internaute se rend sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire est instantanément déposé sur son ordinateur, soit avant même que celui-ci n’exécute la moindre action. Or, le fait de déposer des cookies sur l’ordinateur d’un internaute concomitamment à son arrivée sur un site internet est une pratique qui, par nature, était incompatible avec un consentement préalable.
- Un défaut d’information des utilisateurs du site amazon.fr.
Comme dans la précédente affaire, la CNIL s’est déclarée :
- matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés; et
- territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société Amazon France qui constitue « l’établissement » sur le territoire français de la société Amazon Europe Core et y assure la promotion de leurs produits et services.
Ces procédures et sanctions visent à rappeler que la CNIL dans la lignée de ses dernières lignes directrices et de sa politique de contrôle est très attentive à la question des cookies et traceurs.
N’attendez donc plus pour mettre votre site web en conformité !
Par Cynthia Picart
20/12/20