Un mois après avoir sanctionné le leader français de la grande distribution Carrefour[1], l’organisme de contrôle français s’est intéressé aux pratiques des géants du Web : Google et Amazon.

La CNIL[2] leur reproche l’utilisation de cookies, notamment à des fins marketing, sans l’accord préalable des utilisateurs.

La réglementation des cookies

Les cookies sont des informations que les éditeurs de sites Internet peuvent stocker dans votre navigateur. Ils peuvent être utilisés pour stocker des informations vous concernant, par exemple pour mémoriser le fait que vous êtes connectés à votre espace personnel, ou pour conserver le contenu de votre panier, mais ils peuvent être aussi utilisés vous pour pister et pour vous proposer des publicités ciblées.

L’Union européenne a élaboré deux textes de référence pour encadrer l’utilisation de ces cookies : le Règlement Général de Protection des Données (RGPD)[3] et la directive Vie Privée et Communications Électroniques, communément appelée ePrivacy[4].

Le RGPD est un règlement européen, c’est-à-dire que son contenu est applicable à l’ensemble des pays de l’Union européenne depuis le jour de sa mise en application, le 25 mai 2018.

La directive ePrivacy, elle, n’est pas applicable directement et doit être retranscrite par tous les pays de l’U.E. pour être applicable et juridiquement contraignante. Cette directive n’est cependant qu’une étape temporaire en attendant la finalisation d’un règlement, qui sera applicable dans tous les pays, à l’instar du RGPD.

En France, la CNIL est chargée de transposer en droit français cette directive ePrivacy, notamment l’article 5.3 encadrant l’utilisation des cookies :

« Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipe­ment […] d’un utilisateur n’est permis qu’à condi­tion que […] l’utilisateur ait donné son accord, après avoir reçu […] une information claire et complète, entre autres sur les finalités du traitement »

L’article 82 de la loi Informatique et Libertés[5] reprend ces concepts et est désormais applicable en France, tout comme l’est le RGPD. Les éditeurs de sites Internet doivent donc s’y conformer et adapter les cookies qu’ils utilisent en conséquence.

Comprendre la réglementation des cookies

Les cookies peuvent être utilisés pour assurer le fonctionnement technique d’un site, mais peuvent aussi être utilisés à des fins publicitaires ou marketing. Ce sont uniquement ces derniers qui sont encadrés, c’est-à-dire ceux permettant de collecter les données personnelles des utilisateurs :

« Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement […] de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Avant d’imposer des cookies à ses utilisateurs, les éditeurs de site ont l’obligation de leur demander l’autorisation, en leur expliquant clairement, et en détail, le type d’informations collectées et la finalité :

« Tout […] utilisateur […] doit être informé de manière claire et complète […] de la finalité de toute action tendant à accéder […] à des informations déjà stockées dans son équipement […], ou à inscrire des informations dans cet équipement »

Il est aussi obligatoire de permettre aux visiteurs de s’opposer à l’utilisation de ces cookies :

« Tout […] utilisateur […] doit être informé de manière claire et complète […] des moyens dont il dispose pour s’y opposer. »

Si des données personnelles sont collectées par ces cookies, les textes du RGPD s’appliquent ensuite, comme l’explique très bien la CNIL :

« Il convient donc de distinguer d’une part, les opérations de lecture et d’écriture sur un terminal, qui sont régies par les dispositions de l’article 82 de la loi Informatique et Libertés […] et d’autre part, l’utilisation qui est faite ultérieurement des données collectées grâce aux cookies, qui est régie par le RGPD »

Si on résume : les cookies à des fins publicitaires ou marketing peuvent être déposés dans le navigateur des internautes, à condition qu’ils en soient informés, qu’ils aient donné son accord, et qu’ils aient la possibilité de s’y opposer.

Les cookies d’Amazon imposés à tous, sans conditions

Les pratiques des géants américains Amazon et Google ont été étudiées à la loupe par la CNIL, notamment l’utilisation des cookies. La commission peut désormais se baser sur la réglementation française et européenne pour s’assurer que les droits des internautes français sont respectés.

En ce qui concerne le géant du e-commerce, la CNIL a constaté[6] qu’Amazon imposait des cookies à ses utilisateurs lorsqu’ils se rendaient sur la page Amazon.fr, avant même de les informer.

Une bannière explicative était néanmoins affichée, mais elle ne permettait pas à l’utilisateur de comprendre précisément l’objectif réel de ces cookies, ni de s’y opposer :

« En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus »

La situation est était pire si l’utilisateur se rendait sur le site Amazon.fr par le biais d’une annonce publicitaire située sur un site tiers. Des cookies étaient alors déposés sans le consentement de l’utilisateur et sans qu’il en soit informé.

Dans les deux cas, plus de 40 cookies étaient placés dans l’appareil de l’utilisateur. Derrière ces cookies se trouvaient une vingtaine de sociétés publicitaires, dont le but était de pister les utilisateurs sur le Web pour leur afficher des publicités ciblées.

Selon les données fournies par Amazon, environ 300 millions d’identifiants ont été générés et attribués à des utilisateurs par le biais de ces cookies. Même si certains utilisateurs ont pu avoir plusieurs de ces identifiants, cela représente tout de même une grande partie des internautes français. Autant de personnes à qui Amazon a pu proposer des publicités ciblées pour augmenter davantage sa position déjà très dominante.

Pendant la procédure, Amazon a modifié ses pages pour tenter de se mettre en conformité et montrer sa bonne foi. Le site Amazon.fr affiche désormais ce bandeau d’informations :

La bannière de consentement d’Amazon propose d’ « Accepter les cookies » ou de « Personnaliser les cookies »
Bannière affichée par Amazon.fr suite à leur changement en cours de procédure.

La CNIL considère cependant que ce nouveau texte n’est toujours pas assez claire, ni assez complet, car il ne permet pas aux utilisateurs de comprendre la finalité réelle, notamment le fait que les cookies sont utilisés pour proposer des publicités personnalisées en fonction de leur comportement.

Les cookies de Google imposés à tous, sans conditions

En ce qui concerne le moteur de recherche favori des français, les griefs reprochés à Google sont similaires à ceux reprochés à Amazon.

Lorsqu’un utilisateur se rendait sur Google.fr, plusieurs cookies étaient automatiquement déposés dans l’équipement de l’internaute, avant même qu’il n’ait réalisé la moindre action ni donné son accord. En tout, sept cookies étaient délivrés, dont quatre ayant une finalité publicitaire.

Un bandeau d’information était néanmoins affiché en bas de page :

« Rappel concernant les règles de confidentialité de Google : Me le rappeler plus tard - Consulter maintenant »

La CNIL considère que le message affiché aux utilisateurs est bien trop imprécis et ne permet pas aux internautes de comprendre que des informations relatives à l’utilisation des cookies sont disponibles sur d’autres pages, accessibles par le bouton Consulter maintenant. Le bandeau ne permettait pas non plus à l’internaute de refuser les cookies.

Dans l’éventualité où l’internaute consultait les règles de confidentialité, les explications relatives à l’utilisation des cookies étaient bien présentes, mais difficilement accessibles car noyées dans de nombreuses autres informations relatives à la gestion des données personnelles.

Pendant la procédure, Google a aussi procédé à des changements pour essayer de se mettre en conformité. Le message suivant apparait :

La bannière de consentement de Google propose deux choix : « Plus d’informations » ou « J’accepte »
Bandeau d’information affiché par Google à ses utilisateurs.

Si la CNIL relève un net progrès, notamment l’absence de cookies délivré aux utilisateurs, elle estime que le texte affiché aux utilisateurs reste trop général et ne leur permet pas de comprendre aisément et clairement la finalité des cookies utilisés.

L’impact des cookies publicitaires de Google est énorme, car la société jouit d’une position ultra-dominante sur le marché de la recherche. Google possède, en effet, 90 % des parts de marché en France et serait utilisé par au moins de 47 millions de français, soit 70 % de la population !

Ces cookies sont très importants pour Google, qui réalise la majorité de ses recettes en vendant de la publicité en ligne, soit en affichant des annonces sur les sites Internet tiers, soit en affichant des publicités au sein de ses recherches, comme je l’ai expliqué récemment à propos de la société Carglass[7]. Selon les estimations de la CNIL, les recettes publicitaires de Google seraient de l’ordre de 500 millions d’euros, uniquement pour la France.

Ces cookies sont utilisés par Google pour alimenter ce vaste réseau publicitaire et toucher, selon sa brochure publicitaire, plus de 90 % des internautes dans le monde.

Sanction à l’encontre de Amazon et Google

Une sanction de 35 millions d’euros a été infligée à Amazon, et 100 millions d’euros à Google[8]. Des sanctions importantes à mettre en perspective avec le chiffre d’affaires de ces géants : 7,7 milliards de dollars pour Amazon et 161 milliards de dollars pour Google.

Tous deux disposent de trois mois à compter de la date de publication de la décision pour se mettre en conformité, après quoi une astreinte d’un montant de 100 000 euros par jour de retard sera appliquée.

Note : la CNIL a publié des recommandations pour aider les éditeurs dans leur gestion des cookies.

MAJ du 24/03/2021 : Google a fait appel de la décision mais le Conseil d’État a validé la sanction[9].

Notes et références

  1. La sanction de la CNIL envers le groupe Carrefour est décryptée dans l’article « Carrefour lourdement sanctionnée par la CNIL pour de nombreux manquements relatifs au RGPD ».
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  4. La directive ePrivacy est consultable en ligne : Directive 2009/136/CE du Parlement Européen.
  5. L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE Vie Privée et Communications Électroniques (ou ePrivacy).
  6. Délibération SAN-2020-013 du 7 décembre 2020 de la CNIL concernant la société Amazon.
  7. Le fonctionnement des publicités insérées dans les moteurs de recherche est évoqué dans l’article « Pourquoi Carglass demande à ses clients de taper Carglass.fr et pas simplement Carglass ».
  8. Deux sanctions ont été prononcées à l’encontre de Google : 60 millions d’euros à la société Google LLC et 40 millions à la société Google Ireland Limited.
  9. Décision du Conseil d’État suite à l’appel de la société Google : Conseil d’État, Juge des référés, 04/03/2021, 449212.