La CNIL[1] a sanctionné la société Google[2], le 7 décembre 2020, pour avoir utilisé des cookies publicitaires sur son site « Google.fr » sans informer ses visiteurs, ce qui est contraire à la loi française Informatique et Libertés[3].

Lorsqu’un internaute se rendait sur le moteur de recherches « Google.fr », sept cookies étaient directement déposés dans son appareil, dont quatre à des fins de publicité. Un bandeau d’information était aussi affiché indiquant : « Rappel concernant les règles de confidentialité de Google : Me le rappeler plus tard - Consulter maintenant ».

La CNIL a rappelé au géant américain que « les accès ou inscriptions de cookies dans le terminal d’un utilisateur ne peuvent avoir lieu qu’à la condition que ce dernier y ait consenti après avoir reçu [une] information claire et complète relative aux finalités des cookies déposés et des moyens dont il dispose pour s’y opposer »[4]. La société informait bien les utilisateurs à l’aide d’un bandeau d’information, mais uniquement avec un message général et laconique incitant les visiteurs à consulter la politique de confidentialité de la société.

La Commission française a indiqué que « le simple renvoi aux règles de confidentialité était loin d’être suffisamment explicite à ce stade pour permettre aux personnes lisant ce bandeau de savoir qu’une information relative aux cookies était disponible plus loin dans le parcours de navigation », d’autant plus que le lien « Consulter maintenant » inclus dans le bandeau d’information n’apportait pas non plus d’informations relatives aux cookies, mais uniquement des informations générales de confidentialité.

Par ailleurs, ni le bandeau d’information affiché sur la page d’accueil, ni les règles de confidentialité n’expliquaient à l’utilisateur s’il était possible de refuser ces cookies.

La CNIL a considéré que l’information fournie par Google « ne permettait pas aux utilisateurs […] d’être préalablement et clairement renseignés sur l’existence [de cookies] ni, par conséquent, de la finalité [des cookies] et des moyens mis à leur disposition quant à la possibilité de les refuser ».

Au cours de la procédure, Google a modifié son bandeau d’informations et a ajouté la fenêtre suivante :

Google utilise des cookies et d’autres données pour fournir, gérer et améliorer ses services et annonces. Si vous acceptez, nous personnaliserons le contenu et les annonces que vous voyez en fonction de votre activité sur les services Google comme la recherche, Maps et YouTube. Certains de nos partenaires évaluent également la façon dont nos services sont utilisés. Cliquez sur « Plus d’informations » pour découvrir les options qui s’offrent à vous ou consultez la page g.co/privacytools à tout moment : « Plus d’informations » ou « J’accepte »
Bandeau d’information réalisé par Google en cours de procédure. © Google

La Commission a cependant considéré que l’information n’était toujours pas « claire et complète », car elle n’explique pas l’ensemble des finalités des cookies. Elle ne permet pas, par exemple, à l’internaute de comprendre si les cookies sont utilisés pour personnaliser le contenu en fonction de son comportement ou si des publicités sont affichées selon sa position géographique. L’information ne permet pas non plus de connaître les moyens pour s’opposer aux cookies.

Par ailleurs, la CNIL reproche aussi à Google les défaillances de son mécanisme d’opposition aux cookies, car plusieurs cookies publicitaires étaient utilisés même si l’internaute les désactivait.

Une sanction de 100 millions d’euros a été prononcée à l’encontre de Google, soit 0,06 % de son chiffre d’affaires[5] et à 16 % des bénéfices estimés[6] de Google pour le marché français. La société a également l’obligation de se mettre en conformité sous trois mois, sous peine d’une astreinte de 100 000 euros par jour.

Google a fait appel de l’injonction de mise en conformité auprès du Conseil d’État, mais sa requête a été rejetée le 4 mars 2021. Google a aussi fait appel de sa condamnation, mais sa demande a été rejetée le 28 janvier 2022.

Lire :

Note : Google a modifié ses pratiques pour répondre aux exigences de la CNIL, qui a annoncé, dans une décision du 30 avril 2021, avoir clôturé la procédure contre la société. Cela ne veut cependant pas dire que le bandeau de consentement de Google est conforme à toutes les exigences de la règlementation. Cela signifie uniquement que le bandeau informe les utilisateurs que des cookies sont utilisés, avec des finalités claires, et que des moyens sont proposés pour s’y opposer. Ces moyens peuvent ne pas être conformes.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La sanction de la CNIL a été émise à l’encontre de la société « Google Ireland Limited », la filiale européenne de Google basée en Irlande, et de la société « Google LLC », sa maison mère. Ces sociétés appartiennent au groupe « Alphabet Inc », structure qui encadre toutes les activités du géant américain.
  3. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  4. La législation qui encadre les cookies indique que l’internaute doit « être informé de manière claire et complète » des « finalités » des cookies et « des moyens dont il dispose pour s’y opposer ». Le même texte précise que les cookies peuvent être utilisés « qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement » (source : loi Informatique et Libertés, article 82). Voir « Comment demander le consentement des visiteurs lorsque des cookies sont utilisés ? ».
  5. Le chiffre d’affaires de la société Google au niveau mondial est de 161 milliards d’euros.
  6. Le bénéfice de Google pour ses activités françaises a été estimé entre 540 et 640 millions d’euros d’après la CNIL qui indique avoir réalisé un calcul proportionnel à partir des bénéfices de Google et de la représentation de la France dans ces bénéfices (source : CNIL, SAN-2020-012, 7 décembre 2020, §132).