La CNIL a sanctionné Google d’une amende record pour avoir implanté, sans autorisation des internautes, des cookies sur leurs terminaux, en violation de l’article 82 de la loi informatique et libertés. Par ailleurs, l’exposé des différentes finalités mentionnées sur le « bandeau cookies » demeurait trop général pour que les utilisateurs puissent comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés sur leur terminal.
Consentement préalable des internautes
Lors de l’arrivée sur le site google.fr, sept cookies étaient déposés sur l’équipement terminal de l’internaute, avant toute action de sa part.
Aux termes de l’article 82 de la loi informatique et libertés tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Bandeau de cookies non conforme
Un bandeau d’information s’affichait en pied de page, contenant notamment la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » ou « Consulter maintenant ».
Aucune information relative au dépôt de cookies sur l’équipement terminal n’était fournie à ce stade aux personnes concernées sur ce bandeau alors même que des cookies ayant une finalité publicitaire avaient déjà été déposés sur leur terminal dès leur arrivée sur la page google.fr .
Le simple renvoi aux règles de confidentialité était loin d’être suffisamment explicite à ce stade pour permettre aux personnes lisant ce bandeau de savoir qu’une information relative aux cookies était disponible plus loin dans le parcours de navigation, pour répondre à leurs attentes en la matière et pour satisfaire aux exigences de l’article 82 de la loi informatique et libertés .
Pop-up non conforme
Les règles de confidentialité qui s’ouvraient dans des fenêtres surgissantes lorsque les personnes cliquaient sur le bouton Consulter maintenant ne contenaient toujours aucun développement dédié à l’usage des cookies et autres traceurs, malgré une information générale relative aux données à caractère personnel traitées par les services Google.
Par ailleurs, les personnes n’étaient toujours pas informées à ce stade qu’elles pouvaient refuser les cookies sur leur équipement terminal, dès lors qu’elles étaient seulement avisées qu’elles pouvaient gérer les résultats de recherche en fonction de l’activité de recherche dans ce navigateur ou encore gérer les types d’annonces Google qui s’affichent.
L’information fournie dans le cadre de cette fenêtre surgissante ne comportait, là encore, aucun renvoi explicite aux règles de confidentialité applicables aux cookies.
L’information fournie, tant dans le cadre du bandeau que dans celui de la fenêtre surgissante, ne permettait pas aux utilisateurs résidant en France, lors de leur arrivée sur le moteur de recherche Google Search, d’être préalablement et clairement renseignés sur l’existence d’opérations permettant l’accès et l’inscription d’informations contenues dans leur terminal ni, par conséquent, de la finalité de celles-ci et des moyens mis à leur disposition quant à la possibilité de les refuser.
Information peu claire
Suite à une 1ère modification de Google, les personnes qui se rendaient sur le site voyaient désormais s’afficher, au milieu de leur écran, avant de pouvoir accéder au moteur de recherche, une fenêtre surgissante intitulée « Avant de continuer qui contient le développement suivant : Google utilise des cookies et d’autres données pour fournir, gérer et améliorer ses services et annonces. Si vous acceptez, nous personnaliserons le contenu et les annonces que vous voyez en fonction de votre activité sur les services Google comme la recherche, Maps et YouTube. Certains de nos partenaires évaluent également la façon dont nos services sont utilisés. Cliquez sur « Plus d’informations » pour découvrir les options qui s’offrent à vous ou consultez la page g.co/privacytools à tout moment » (les termes cookies , partenaires et g.co/privacytools étant des liens cliquables).
En bas de cette fenêtre surgissante, figurent deux boutons intitulés « Plus d’informations et J’accepte ».
L’information préalable relative aux cookies était donc existante mais l’information délivrée n’était toujours pas claire et complète au sens de l’article 82 de la loi informatique et libertés, dans la mesure où cette information ne renseigne pas l’utilisateur sur l’ensemble des finalités des cookies déposés et des moyens dont il dispose pour s’y opposer.
L’exposé des différentes finalités mentionnées dans le bandeau demeurait trop général pour que les utilisateurs puissent comprendre aisément et clairement pour quels usages spécifiques les cookies sont déposés sur leur terminal.
L’utilisateur n’était notamment pas en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement – par exemple, s’il s’agissait de publicité géolocalisée -, la nature exacte des services Google qui recouraient à la personnalisation ni le fait que cette personnalisation opère entre ces différents services.
L’information fournie était également incomplète dès lors que les utilisateurs n’étaient toujours pas renseignés sur leur possibilité de refuser ces cookies, ni sur les moyens mis à leur disposition pour cela. En effet, les termes « options » ou « plus d’informations » ne sont pas assez explicites pour permettre aux utilisateurs de comprendre directement l’étendue de leurs droits à l’égard des cookies déposés sur leur terminal.
Justification de la sanction record
La sanction record s’explique notamment par le fait que le groupe GOOGLE réalise l’essentiel de ses bénéfices dans les deux principaux segments du marché de la publicité en ligne que constituent la publicité par affichage (Display Advertising) et la publicité contextuelle (Search Advertising), dans lesquels les cookies jouent un rôle indéniable, quoique différent.
Ensuite, le segment de la publicité contextuelle, dont l’objet est d’afficher des résultats sponsorisés en fonction des mots clef tapés par les utilisateurs dans un moteur de recherche, nécessite également l’usage de cookies dans sa mise en œuvre pratique, par exemple pour pouvoir déterminer la localisation géographique des utilisateurs et, par-là, adapter les annonces proposées en fonction de cette localisation. À cet égard, il ressort du rapport annuel de la société ALPHABET pour l’année 2019 que ce segment constitue à lui seul, à travers notamment le service Google Ads – anciennement AdWords -, 61% du chiffre d’affaires du groupe GOOGLE.
Une approximation proportionnelle à partir des données chiffrées accessibles publiquement conduirait à estimer que la France contribuerait pour entre 680 et 755 millions de dollars au résultat net annuel d’ALPHABET, la société-mère du groupe GOOGLE, soit, au taux de change actuel, entre 580 et 640 millions d’euros. Télécharger la décision