La CNIL[1] a sanctionné la société Google[2], le 31 décembre 2021, pour n’avoir pas permis aux visiteurs de ses sites « Google.fr » et « YouTube.com » de s’opposer facilement à l’utilisation de cookies publicitaires, en infraction avec la loi française Informatique et Libertés[3].

Les sites du géant américain utilisant des cookies publicitaires, une bannière de consentement était affichée aux visiteurs pour demander leur accord. Cette bannière offrait deux choix aux internautes : « J’accepte » ou « Personnaliser ».

Si l’internaute acceptait l’utilisation de cookies, l’internaute pouvait se contenter de cliquer sur le bouton « J’accepte ». Pour les refuser, le processus était un peu plus laborieux. L’internaute devait :

  • cliquer sur le bouton « personnaliser » ; puis
  • cliquer sur « désactiver la personnalisation de la recherche ; puis
  • cliquer « désactiver l’historique YouTube » ; puis
  • cliquer « désactiver la personnalisation des annonces » ; et enfin
  • cliquer sur le bouton « confirmer ».

La CNIL a rappelé à Google que les visiteurs doivent avoir la possibilité d’accepter et de refuser les cookies « avec le même degré de simplicité »[4] pour que leur consentement soit considéré comme une volonté « libre, spécifique, éclairée et univoque »[5] de leur part.

Les sites de Google demandant un unique clic pour accepter les cookies contre cinq pour les refuser, la Commission a considéré que les visiteurs n’avaient pas une « véritable liberté de choix » et que le mécanisme mis en place par la société consistait « en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton "j’accepte" ».

Une amende de 150 millions d’euros a été prononcée contre Google[6], ce qui correspond à 0,08 %[7] du chiffre d’affaires du groupe et à 25 % des bénéfices estimés[8] de Google pour le marché français.

La société a également l’obligation de se conformer à la règlementation sous trois mois, sous peine d’une astreinte de 100 000 euros par jour.

Ma réaction à cette décision

Même si le montant de la sanction est faible au regard des bénéfices de Google (~600 millions € en France et 14 milliards € dans le monde), on ne peut que féliciter la CNIL de tenir tête aux géants du numérique, car la tâche n’est pas simple. Google a les moyens de se payer des avocats compétents, qui ne se privent pas de remettre tout en question pour annuler la procédure, sous prétexte que :

  • cette procédure est une deuxième sanction pour les mêmes faits que la procédure de décembre 2020, au cours de laquelle la société avait écopé une amende de 150 millions d’euros pour n’avoir pas informé les internautes correctement[9] ;
  • qu’un recours auprès du Conseil d’État est en cours par rapport à cette procédure de décembre 2020 ;
  • la procédure actuelle devrait être réalisée par l’autorité irlandaise, connue pour être très favorables aux entreprises de Tech, et non par la CNIL[10] ;
  • que la CNIL n’est pas compétente pour résoudre des litiges de cette nature ;
  • que Google subirait une différence de traitement par rapport aux autres acteurs.

Google sait très bien ce qu’il fait et, s’il le fait, c’est parce que le jeu en vaut la chandelle. Les bénéfices réalisés par de telles pratiques surpassent largement les éventuelles amendes. Heureusement, la CNIL a émis à son encontre une astreinte de 100 k€ par jour pour l’obliger à modifier ses pratiques.

Un délai de trois mois a été laissé à Google pour se mettre en conformité. La solution au problème est pourtant simple : rajouter un bouton « Refuser ». Un tel bouton couterait cependant beaucoup d’argent à Google, car les internautes ne se priveraient pas de l’utiliser. Je ne me fais cependant pas de souci pour Google, ils trouveront un tour de passe-passe pour contourner leurs obligations, comme ils l’ont toujours fait.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La sanction de la CNIL a été émise à l’encontre de la société « Google Ireland Limited », la filiale européenne de Google basée en Irlande, et de la société « Google LLC », sa maison mère. Ces sociétés appartiennent au groupe « Alphabet Inc », structure qui encadre toutes les activités du géant américain.
  3. La loi Informatique et Libertés est le principal texte français encadrant le traitement de données à caractère personnel. Il transpose notamment en droit français la directive ePrivacy (Directive 2009/136/CE du Parlement Européen). Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  4. Les recommandations de la CNIL indiquent que les responsables de traitement de données personnelles doivent « offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité » (source : CNIL, Délibération 2020-092, 17 septembre 2020, §2.4). L’utilisation de cookies étant une opération d’écriture ou de lecture, ces recommandations s’appliquent aux sites de la société Google.
  5. Le RGPD défini le consentement « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair » (source : RGPD, article 4-11).
  6. Dans le détail, la CNIL a sanctionné la société irlandaise « Google Ireland Limited » d’une amende de 90 millions d’euros et a sanctionné la société « Google Inc », la maison mère américaine, d’une amende de 60 millions d’euros.
  7. Le groupe Alphabet, maison de mère de la société Google, a déclaré un chiffre d’affaires de $182,5 milliards en 2020 ( source : Alphabet, Résultats annuels 2020, page 91), soit 161,3 milliards d’euros au cours actuel.
  8. Le bénéfice de Google pour ses activités françaises a été estimé à 600 millions d’euros d’après la CNIL qui indique avoir réalisé un calcul proportionnel à partir des bénéfices de Google et de la représentation de la France dans ces bénéfices (source : CNIL, SAN-2021-023, 31 décembre 2021, §156).
  9. Cette sanction de la CNIL est la deuxième sanction contre Google pour utilisation illicite de cookies. Une première sanction d’un montant 100 millions d’euros a été émise pour la société le 7 décembre 2020, car des cookies publicitaires étaient utilisés sans informer correctement les internautes. Voir « GOOGLE sanctionné pour avoir utilisé des cookies publicitaires sans informer correctement les internautes ».
  10. Les manquements étant relatifs à la loi Informatique et Liberté, une loi française, et non du RGPD, une règlementation européenne, ce n’est pas l’autorité de contrôle irlandaise, pays dans lequel la filiale européenne de Google est basée, qui a réalisé l’instruction, mais la CNIL. Cette procédure concerne, par conséquent, uniquement la France. D’autres pays européens peuvent réaliser une telle procédure si la législation nationale le permet.