La CNIL[1] a sanctionné la société Facebook[2], le 31 décembre 2021, pour n’avoir pas permis aux visiteurs de son site « facebook.com » de s’opposer facilement à l’utilisation de cookies publicitaires, en infraction avec la loi française Informatique et Libertés[3].

Le site du premier réseau social mondial utilisant des cookies à des fins de publicité personnalisée et de profiling, une bannière de consentement était affichée aux visiteurs pour leur demander leur accord. Cette bannière offrait deux choix aux internautes : « Tout accepter » ou « Gérer les paramètres de données ». Si l’internaute acceptait l’utilisation de cookies, il pouvait se contenter de cliquer sur le bouton « Tout accepter » et accéder directement au réseau social. Pour refuser les cookies, le processus était un peu plus complexe. L’internaute devait :

  • cliquer sur le bouton « Gérer les paramètres de données » ;
  • faire défiler le contenu de la nouvelle page qui s’affiche ;
  • laisser décoché la case dédiée à la « publicité personnalisée par Facebook » et la case dédiée à la « publicité personnalisée par des tiers » ;
  • cliquer sur le bouton « Accepter les cookies ».

La CNIL a rappelé à Facebook que les visiteurs doivent avoir la possibilité d’accepter et de refuser les cookies « avec le même degré de simplicité »[4] pour que leur consentement soit considéré comme une volonté « libre, spécifique, éclairée et univoque »[5] de leur part.

Le site Facebook demandant un unique clic pour accepter les cookies contre trois actions pour les refuser, la Commission a considéré que les visiteurs n’avaient pas une « véritable liberté de choix » et que le mécanisme mis en place par le réseau social consistait « en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton "Accepter les cookies" ».

La CNIL reproche également à Facebook la formulation de son bouton de refus. Elle considère que le fait de devoir cliquer sur le bouton « Accepter les cookies » lorsqu’on souhaite refuser les cookies laisse penser à l’utilisateur qu’il n’est, en réalité, pas possible de refuser l’utilisation de cookies publicitaires, ce qui peut le décourager d’utiliser une telle fonctionnalité. Cette formulation est par ailleurs, contraire à ses recommandations, qui indique que l’information apportée à l’utilisateur doit être « claire et complète »[6], c’est-à-dire qu’elle ne doit être « rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir »[7].

Une amende de 60 millions d’euros a été prononcée contre Facebook, ce qui correspond à 0,08 %[8] du chiffre d’affaires du groupe et à 25 % des bénéfices estimés[9] de Facebook pour le marché français.

La société a également l’obligation de se conformer à la règlementation sous trois mois, sous peine d’une astreinte de 100 000 euros par jour.

Ma réaction à cette décision

C’est la première fois que Facebook est sanctionnée par la CNIL pour une utilisation illicite de cookies publicitaires. Cette sanction arrive seulement neuf mois après l’entrée en application en France des nouvelles règles[10] qui encadrent l’utilisation de cookies, ce qui est appréciable. On ne peut que féliciter la CNIL et saluer sa volonté de tenir tête aux géants américains pour qu’ils respectent la loi, ce qui n’est pas une mince affaire.

Cette sanction tombe le même jour que celle contre Google[11], qui a été sanctionnée d’une amende de 150 millions d’euros pour les mêmes raisons, à savoir, la difficulté de s’opposer à l’utilisation de cookies publicitaires. Une chose surprend à la lecture des deux délibérations : la similitude des arguments des deux sociétés. Les décisions ne précisent pas le nom des avocats des deux groupes, mais il n’y a pas de doute à avoir sur le fait que les deux groupes bénéficient des mêmes conseils. Leur stratégie est rôdée : tout remettre en question pour que la procédure soit la plus longue et la plus laborieuse possible.

Facebook a trois mois pour se mettre en conformité, ou plutôt, trois mois pour trouver un nouveau tour de passe-passe. Durant la procédure, Facebook a déjà annoncé un changement de l’ergonomie de sa bannière de consentement. Ce changement n’a cependant pas satisfait la Commission, car la bannière ne permet toujours pas de refuser les cookies publicitaires à partir de l’écran principal.

Facebook fera tout pour ne pas ajouter un bouton « refuser les cookies », car il sait que la facilité d’utilisation d’un tel bouton inciterait les internautes à l’utiliser, ce qui lui coûterait beaucoup d’argent.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La sanction de la CNIL a été émise à l’encontre de la société « Facebook Ireland Limited », la filiale irelandaise de la société « Facebook Inc » (rénommée « Meta Platforms Inc »), la maison mère basée aux États-Unis.
  3. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  4. Les recommandations de la CNIL indiquent que les responsables de traitement de données personnelles doivent « offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité » (source : CNIL, Délibération 2020-092, 17 septembre 2020, §2.4).
  5. Le RGPD défini le consentement « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair » (source : RGPD, article 4-11).
  6. La législation indique que l’internaute « doit être informé de manière claire et complète » (source : loi Informatique et Libertés, article 82). L’information communiquée par Facebook n’était pas claire dans le sens où elle ne permettait pas aux internautes de savoir avec certitude si la procédure permettait réellement de s’opposer aux cookies publicitaires.
  7. Les recommandations de la CNIL indiquent que l’information des bannières de consentement doit être « rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir » (source : CNIL, Délibération 2020-092, 17 septembre 2020, §2.4). Facebook demandait à ses visiteurs de cliquer sur le bouton « Accepter les cookies » pour s’opposer à l’utilisation de cookies, ce qui laisse croire que le bouton produit l’effet inverse. Voir « Comment demander le consentement des visiteurs lorsque des cookies sont utilisés ? ».
  8. Le groupe Facebook Inc (Meta), maison de mère de la société Facebook Ireland Limited, a déclaré un chiffre d’affaires de $85,97 milliards en 2020 ( source : Facebook Inc, Résultats annuels 2020), soit 76,1 milliards d’euros au cours actuel.
  9. Le chiffre d’affaires de Facebook pour ses activités françaises a été estimé à 600 millions d’euros d’après la CNIL qui indique avoir réalisé un calcul proportionnel à partir des bénéfices de la société, le nombre d’utilisateurs français et le revenu moyen généré par un utilisateur européen (source : CNIL, SAN-2021-024, 31 décembre 2021, Facebook, §134).
  10. La CNIL a publié le 17 septembre 2020 des lignes directives et des recommandations pour encadrer l’utilisation de cookies, mais un délai de six mois a été accordé pour permettre aux éditeurs de se mettre en conformité (source : CNIL, délibérations n°2020-091 et n° 2020-092, 17 septembre 2020). Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  11. La CNIL a sanctionné le même jour, le 31 décembre 2021, les sociétés Google et Facebook pour la difficulté de s’opposer à l’utilisation de cookies publicitaires. Voir « GOOGLE sanctionné pour n’avoir pas permis à ses visiteurs de refuser les cookies publicitaires aussi facilement que de les accepter ».