L’année commence sur les chapeaux de roue pour la Commission nationale de l’informatique et des libertés (CNIL). Après avoir sanctionné Free Mobile à hauteur de 300 000 euros, l’autorité vient d’épingler les géants Google et Facebook pour leurs procédures d’acception ou de refus des cookies sur les sites google.com, youtube.com et facebook.com. La facture est salée. Google et Facebook écopent respectivement d’une sanction de 150 et 60 millions d’euros. Ils sont priés de se mettre en conformité d’ici à trois mois. À défaut, les sociétés devront payer une astreinte de 100 000 euros par jour de retard.
A découvrir aussi en vidéo :
Dans les deux cas, le reproche fait aux géants est simple : ils ne permettent pas de refuser les cookies aussi simplement que de les accepter. Cette règle existe pourtant depuis octobre 2020 et les éditeurs de sites devaient impérativement la mettre en application depuis avril 2021. Mais les géants américains ont préféré faire la sourde oreille. Sur google.com et youtube.com, on a le choix entre « J’accepte » et « Personnaliser ». Pour refuser les cookies, il faut se rendre sur une page de paramétrage difficile à appréhender. « Rendre le mécanisme de refus plus complexe revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton “j’accepte” », estime la CNIL dans un communiqué.
Sur facebook.com, c’est encore pire. L’internaute peut « tout accepter » ou « gérer les paramètres de données ». Dans ce dernier cas, rebelote, il se retrouve sur une page de paramétrage que l’on peut seulement valider avec un bouton « Accepter les cookies ». « Un tel intitulé génère nécessairement de la confusion et l’utilisateur peut avoir le sentiment qu’il n’est pas possible de refuser le dépôt de cookies et qu’il ne dispose pas de modalités de contrôle à cet égard », explique la CNIL.
Google et Facebook ne sont pas les premiers à être épinglés pour le non-respect de cette règle de procédure. Depuis avril 2021, plus de 90 acteurs ont été mis en demeure par la CNIL. Mais les deux géants américains sont les premiers à être sanctionnés publiquement. Comme on peut le voir dans les textes de délibération, les deux groupes ont essayé d’y échapper en invoquant le principe du guichet unique du RGPD. Ce qui les aurait mis face à l’autorité irlandaise, généralement plus clémente.
Mais cette tactique juridique n’a pas fonctionné, car la CNIL estime que la sanction en question ne découle pas du règlement RGPD, mais de la directive ePrivacy. Et comme l’autorité française a été explicitement mandatée par le législateur pour faire respecter cette directive, elle avait donc la compétence nécessaire pour sanctionner les deux groupes.
Les réactions des géants américains
Google semble bien accepter cette décision.
« Les internautes nous font confiance afin de respecter leur droit à la vie privée et veiller à leur sécurité. Dans le respect de ces attentes, nous nous engageons à mettre en place de nouveaux changements, ainsi qu’à travailler activement avec la CNIL en réponse à sa décision, dans le cadre de la directive ePrivacy », explique Google France dans un communiqué.
Chez Facebook, la réaction est moins claire.
« Nous examinons la décision de l’autorité et restons déterminés à travailler avec les autorités compétentes. Nos contrôles de consentement aux cookies offrent aux gens un meilleur contrôle sur leurs données, y compris un nouveau menu de paramètres sur Facebook et Instagram où les gens peuvent revoir et gérer leurs décisions à tout moment, et nous continuons à développer et à améliorer ces contrôles », a expliqué un porte-parole de Meta.
On verra le résultat dans trois mois.
Source: CNIL
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.