Le principe est le suivant : le bandeau proposant l’acceptation ou le refus des Cookies doit permettre une information claire et suffisante des personnes sur les finalités des Cookies mis en place.
Le bandeau d’information affiché en page d’accueil ne peut se limiter à donner une description générale et approximative des finalités de l’ensemble cookies déposés. En effet, les termes « améliorer votre expérience sur nos sites web » et » à des fins d’analyse et de marketing » sont particulièrement imprécis.
La finalité de l’opération
L’article 82 de la loi Informatique et Libertés prévoit que » tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement […] « .
Une information claire sur les finalités
Les lignes directrices de la CNIL du 17 septembre 2020 qui ont pour objet de rappeler et d’expliciter le droit applicable, prévoient que » l’information doit être rédigée en des termes simples et compréhensibles par tous et qu’elle doit permettre aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés […].
L’information doit être complète, visible et mise en évidence. Un simple renvoi vers les conditions générales d’utilisation ne saurait suffire « .
La Commission ajoute que » A minima, la fourniture des informations suivantes aux utilisateurs, préalablement au recueil de leur consentement, est nécessaire pour assurer le caractère éclairé de ce dernier : […] la finalité des opérations de lecture ou écriture des données […] » (§24).
Exemple de bannière non valide
Dans l’affaire CNIL c/ TikTok, sur le bandeau figurant lors du contrôle en ligne, parmi les finalités poursuivies par les cookies figurent » des fins d’analyse et de marketing « , sans plus de précisions.
Or, ces finalités n’étaient pas assez déterminées et précises pour considérer que l’information est conforme aux obligations découlant de l’article 82 la loi Informatique et Libertés.
Le contrôle diligenté le 30 juin 2022 a mis en lumière que les sociétés ont ajouté un bouton « Tout refuser » sur leur bandeau cookies au premier niveau et ont complété l’information relative aux finalités.
Lorsque l’utilisateur cliquait sur « gestion des cookies » sur le bandeau qui lui était présenté à son arrivée sur le site « tiktok.com », une nouvelle fenêtre apparaissait avec une liste de » cookies d’analyse et de marketing » . Il n’était toutefois pas indiqué quelle était la finalité poursuivie par chaque cookie (analyse ou marketing ou bien les deux à la fois), plaçant ainsi l’utilisateur dans l’impossibilité de savoir exactement ce à quoi il consent. L’information fournie par les sociétés TikTok n’était donc pas suffisante et ne permettait pas à l’utilisateur de pouvoir donner un consentement libre et éclairé.
Tant l’article 5, paragraphe 3, de la directive « ePrivacy » que l’article 82 de la loi Informatique et Libertés prévoient expressément que l’utilisateur doit être informé de manière complète des finalités poursuivies par les opérations de dépôt et de lecture des cookies et des moyens dont il dispose pour s’y opposer.
Les termes généraux sont à proscrire
Le bandeau d’information affiché en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble cookies déposés. En effet, les termes « améliorer votre expérience sur nos sites web » et » à des fins d’analyse et de marketing » sont particulièrement imprécis.
Le terme « analyse » ne permet pas d’identifier la finalité poursuivie par cette analyse, ni la différence avec la finalité se rattachant aux termes « améliorer votre expérience sur nos sites web ».
De même, les finalités « marketing » peuvent recouper des traitements divers (statistiques, prospection commerciale, publicité ciblée, publicité contextuelle, etc.). Ainsi, à la lecture de ce bandeau, l’utilisateur n’était pas mis en mesure de comprendre quels types de contenus allaient lui être présentés et, le cas échéant, sous quelle forme.
De surcroît, s’il est possible de compléter l’information figurant au premier niveau via un lien hypertexte, il n’en demeure pas moins que celle présente dans le bandeau dédié doit être suffisamment claire pour permettre à l’utilisateur de faire un choix éclairé dès cette étape.
Or, en l’espèce, les finalités ne sont pas développées de façon suffisamment précise. La finalité de « marketing », pourrait par exemple inclure l’explication suivante : » pouvoir comprendre l’efficacité des campagnes publicitaires de TikTok « .
Les finalités multiples pour un même cookie
Si plusieurs cookies peuvent servir la même finalité ou que certains cookies peuvent poursuivre plusieurs finalités, l’utilisateur doit en être informé lorsque l’interface de recueil du consentement propose d’exprimer son choix cookie par cookie.
En effet, l’article 82 de la loi Informatique et Libertés précité prévoit expressément que l’utilisateur « doit être informé de manière claire et complète ».
Or, en l’espèce, l’utilisateur ne savait pas si les cookies listés avaient pour finalité les « données analytiques » et/ou le « marketing », qui semblent deux finalités de nature différente (et par ailleurs désignées de façon trop imprécises) et qui devraient pouvoir être acceptées séparément.
CNIL, Délibération du 29 décembre 2022, n° SAN-2022-027
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Anne DEBET, Madame Christine MAUGÜÉ, Monsieur Alain DRU et Monsieur Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2020-047C du 27 décembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement de données à caractère personnel portant, en tout ou partie, sur des données relatives à la commercialisation ou à l’utilisation des produits ou services rattachés à la marque « Tik Tok » ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte du 3 février 2022 ;
Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié aux sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED et TIKTOKTECHNOLOGY LIMITED le 7 juillet 2022 ;
Vu les observations écrites versées par les sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED et TIKTOK TECHNOLOGY LIMITED le 22 août 2022 ;
Vu la réponse de la rapporteure à ces observations notifiée le 22 septembre 2022 au conseil des sociétés ;
Vu les observations écrites des sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED et TIKTOK TECHNOLOGY LIMITED reçues le 24 octobre 2022 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte du 1er décembre 2022 :
— Madame Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants des sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED et TIKTOK TECHNOLOGY LIMITED :
— […]
Les sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED et TIKTOKTECHNOLOGY LIMITED ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. Le groupe TIKTOK, qui a des bureaux en Europe, au Moyen-Orient, en Amérique du Nord, en Asie et en Afrique, appartient au groupe de sociétés BYTEDANCE, lequel exploite une gamme de plateformes de distribution de contenus. BYTEDANCE LTD, société mère du groupe TIKTOK, est immatriculée aux Iles Caïmans.
2. BYTEDANCE a lancé l’application TIKTOK en mai 2017. En novembre 2017, BYTEDANCE a fait l’acquisition de « musical.ly », plateforme de distribution de contenu permettant aux utilisateurs de créer, de voir et de partager du contenu. La société américaine MUSICAL.LY INC. proposait l’application « musical.ly » aux utilisateurs situés aux États-Unis et dans l’Union européenne. À la suite de cette acquisition, l’application « musical.ly » a été rebaptisée TIKTOK en août 2018 et la dénomination sociale de MUSICAL.LY INC. a été modifiée et est devenue TIKTOKINC. en mai 2019.
3. La société TIKTOK INC. a continué à proposer l’application à des personnes situées au sein de l’Union européenne à la suite de l’acquisition de l’application par BYTEDANCE et à son changement de nom pour TIKTOK. La société TIKTOKINC. était responsable des traitements concernant les données à caractère personnel des utilisateurs situés dans l’Union européenne jusqu’à juillet 2020. Dans le cadre de la procédure de contrôle, les sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED (ci-après « TIKTOK UK ») et TIKTOKTECHNOLOGY LIMITED (ci-après « TIKTOK IRLANDE ») ont indiqué que, depuis le 29 juillet 2020, la responsabilité des traitements des données à caractère personnel des utilisateurs européens leur incombe conjointement.
4. La société TIKTOK UK, dont le siège social est situé à Londres (Royaume-Uni), comptait […] salariés en juin 2020.
5. Filiale de TIKTOK UK, la société TIKTOK IRLANDE a, quant à elle, son siège social situé à Dublin (Irlande). Constituée à la fin de l’année 2018, elle employait […] personnes en juin 2020.
6. En 2021, la société BYTEDANCE, maison mère de TIKTOK, a réalisé un chiffre d’affaires d’environ […]de dollars. Le chiffre d’affaires total de la société TIKTOKUK et de ses filiales s’est élevé à près de […] dollars en 2019 et à plus de […] dollars en 2020.
7. Par ailleurs, deux établissements de TIKTOK sont présents en France, la société NEWS REPUBLIC et la société TIKTOK SAS, lesquelles ont leur siège social respectivement à Bordeaux et à Paris.
8. Au cours du premier trimestre 2020, l’application TIKTOK comptait environ 60 millions d’utilisateurs actifs par mois au sein de l’Union européenne et du Royaume-Uni. Environ 7 millions de ces utilisateurs actifs chaque mois étaient situés en France, dont 5 millions d’utilisateurs inscrits, c’est-à-dire possédant un compte. D’après les informations publiquement disponibles, TIKTOK a été l’application pour téléphone mobile la plus téléchargée en 2021.
9. En application de la décision n° 2020-047C de la présidente de la Commission nationale de l’informatique et des libertés (ci-après « la Commission » ou « la CNIL ») du 27 décembre 2019, la CNIL a effectué une mission de contrôle en ligne sur le site web « tiktok.com » le 14 mai 2020.
10. Le 3 juin 2020, une mission de contrôle sur pièces a également été réalisée par l’envoi d’un questionnaire à la société TIKTOK INC., alors responsable de traitement, dont une copie a été adressée à la société TIKTOK UK. La société était ainsi invitée à répondre à plusieurs questions portant notamment sur l’organisation du groupe, sa responsabilité dans le cadre des traitements mis en œuvre sur le site « tiktok.com », les finalités des opérations de lecture et/ou d’écriture effectuées à partir de ce site dans le terminal des utilisateurs résidant en France.
11. Le 29 juin 2020, la société TIKTOK UK a transmis des éléments de réponse à la CNIL. Par courriels des 26 août et 30 septembre 2020, la délégation de la CNIL a sollicité des précisions complémentaires auprès de la société, lesquelles ont été apportées par la société TIKTOK IRLANDE par courriers des 24 septembre et 9 octobre 2020.
12. Le 3 juin 2021, un deuxième contrôle en ligne a été effectué par une délégation de la CNIL. Lors de ce contrôle, la délégation a suivi trois parcours afin d’identifier si des cookies sont déposés sur l’équipement de l’utilisateur lors de la navigation :
— parcours 1 – « refus du dépôt des cookies » : lorsque l’utilisateur se rend sur le site web « www.tiktok.com » et poursuit sa navigation après avoir cliqué sur l’onglet « Gérer les paramètres » situé dans le bandeau d’information relatif aux cookies, puis sur le bouton « Ouvrir les paramètres de cookies », puis sur le bouton « Enregistrer »;
— parcours 2 – « aucun choix exprimé » : lorsque l’utilisateur se rend sur le site web « www.tiktok.com » puis ne clique sur aucun des boutons qui s’affichent dans le bandeau d’information, puis poursuit sa navigation dans le réseau social ;
— parcours 3 – « acceptation des cookies, puis retrait du consentement » : lorsque l’utilisateur se rend sur le site web « www.tiktok.com » et, après avoir cliqué sur l’onglet « Tout accepter » situé dans le bandeau d’information relatif aux cookies, poursuit sa navigation dans le réseau social ; puis lorsqu’il se rend sur le lien intitulé « Cookies » dans le pied de page, qu’il clique sur le bouton « Ouvrir les paramètres de cookies », qu’il décoche le slider « Données analytiques et marketing », puis clique sur le bouton « Enregistrer » et poursuit sa navigation.
13. La délégation de contrôle a demandé à la société TIKTOK IRLANDE, dans le cadre du procès-verbal de constatations en ligne dressé à l’issue du contrôle, des précisions complémentaires sur la finalité de chacun des cookies mentionnés dans ledit procès-verbal et sur la finalité des requêtes adressées à certains domaines mentionnés dans les pièces.
14. Par courrier du 22 juin 2021, la société TIKTOK IRLANDE a apporté les précisions sollicitées par la délégation de contrôle.
15. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 3 février 2022, désigné Madame Valérie PEUGEOT en qualité de rapporteure sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019.
16. Par courrier du 30 mai 2022, la rapporteure a sollicité des informations complémentaires auprès du conseil des sociétés TIKTOK UK et TIKTOKIRLANDE, portant notamment sur les fonctions actuelles des sociétés TIKTOKSAS et NEWS REPUBLIC, sur les liens juridiques existant entre les sociétés NEWS REPUBLIC, TIKTOK SAS, TIKTOK IRLANDE et TIKTOK UK et sur la date à laquelle le bouton « tout refuser » a été ajouté sur le bandeau relatif aux cookies sur le site « tiktok.com ». Ces éléments complémentaires ont été transmis à la rapporteure par courrier du 14 juin 2022.
17. Puis, sur demande de la rapporteure, la présidente de la Commission a fait procéder à une nouvelle mission de vérification des traitements mis en œuvre sur le site web « tiktok.com » le 30 juin 2022.
18. Le 7 juillet 2022, la rapporteure a fait notifier à la société un rapport détaillant le manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés ») qu’elle estimait constitué en l’espèce. La rapporteure proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre des sociétés TIKTOK UK et TIKTOK IRLANDE, ainsi qu’une injonction, assortie d’une astreinte, de cesser de déposer des cookies et traceurs soumis au recueil du consentement des personnes résidant en France lors de l’arrivée sur le site « tiktok.com », avant même qu’elles aient eu la possibilité d’effectuer un choix quant aux opérations d’accès ou d’inscription d’informations dans leur terminal, après leur refus des opérations de lecture et écriture ou après retrait de leur consentement, et d’informer les personnes concernées s’agissant des finalités des différents cookies pour lesquels l’utilisateur peut faire un choix en cliquant sur un bouton slider, afin de lui permettre de donner un consentement libre et éclairé. Elle proposait également que la décision de sanction soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.
19. Le 22 août 2022, les sociétés ont produit leurs observations en réponse au rapport de sanction.
20. La rapporteure a répondu aux observations des sociétés le 22 septembre 2022.
21. Le 24 octobre 2022, les sociétés ont produit de nouvelles observations en réponse à celles de la rapporteure.
22. Par courrier du 9 novembre 2022, la rapporteure a informé le conseil des sociétés que l’instruction était close, en application de l’article 40, III, du décret modifié n°2019-536 du 29 mai 2019.
23. Par courrier du 10 novembre 2022, les sociétés ont été informées que le dossier était inscrit à l’ordre du jour de la formation restreinte du 1er décembre 2022.
24. La rapporteure et les sociétés ont présenté des observations orales lors de la séance de la formation restreinte.
II. Motifs de la décision
A. Sur les traitements en cause et la compétence de la CNIL
1. Sur la compétence matérielle de la CNIL et la non-application du mécanisme de « guichet unique » prévu par le RGPD
25. Les traitements objets de la présente procédure sont relatifs au dépôt de cookies et traceurs sur le terminal des utilisateurs résidant en France lors de la navigation sur le site « tiktok.com » et sur les sous-domaines TIKTOK. Le domaine principal – « tiktok.com » – est le site principal par lequel les utilisateurs peuvent regarder des vidéos sur la plateforme TIKTOK. Quant aux sous-domaines, ils sont dédiés à d’autres activités spécifiques : sous-domaine dédié aux actualités de TIKTOK (« newsroom.tiktok.com »), sous-domaine permettant de collaborer avec des créateurs en fonction de son industrie, de son budget et de ses buts commerciaux (« creatormarketplace.tiktok.com ») ou encore sous-domaine permettant aux développeurs de créer des outils pour les créateurs et communautés (« developers.tiktok.com ») par exemple.
26. Les traitements objets de la procédure sont effectués dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques proposés au sein de l’Union européenne. À ce titre, ils entrent dans le champ d’application matériel de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (ci-après la directive « ePrivacy »).
27. L’article 5, paragraphe 3, de cette directive, relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés, au sein du chapitre IV de la loi relatif aux Droits et obligations propres aux traitements dans le secteur des communications électroniques.
28. Aux termes de l’article 16 de la loi Informatique et Libertés, » la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi « . Selon l’article 20, paragraphe III, de cette même loi, » lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l’informatique et des libertés […] peut saisir la formation restreinte « .
29. La rapporteure considère que la CNIL est matériellement compétente pour contrôler et sanctionner les opérations d’accès ou d’inscription d’informations mises en œuvre par les sociétés dans les terminaux des utilisateurs du réseau social TIKTOK en France.
30. En défense, les sociétés n’ont pas fait d’observations sur la compétence de la CNIL dans leurs écritures, précisant qu’elles se » réserve[nt] le droit de se prononcer ultérieurement « .
31. La formation restreinte rappelle que le Conseil d’État a, dans sa décision Société GOOGLE LLC et société GOOGLE IRELAND LIMITED du 28 janvier 2022, confirmé que le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « le RGPD » ou « le Règlement ») n’est pas applicable : » il n’a pas été prévu l’application du mécanisme dit du « guichet unique » applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978 […] » (CE, 10ème et 9ème chambres réunies, 28 janvier 2022, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, pt. 12). Le Conseil d’État a réaffirmé cette position dans un arrêt du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423).
32. Dès lors, la formation restreinte considère que la CNIL est compétente pour contrôler et engager une procédure de sanction concernant les traitements mis en œuvre par les sociétés relevant du champ d’application de la directive « ePrivacy », sous réserve que le traitement se rattache à sa compétence territoriale.
2. Sur la compétence territoriale de la CNIL
33. La règle d’application territoriale des exigences fixées à l’article 82 de la loi Informatique et Libertés est fixée à l’article 3, paragraphe I, de la même loi qui dispose : » sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France « .
34. La rapporteure considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de la navigation sur le site web « tiktok.com », est effectué dans le « cadre des activités » de la société TIKTOK SAS, qui constitue » l’établissement » sur le territoire français des sociétés TIKTOK UK et TIKTOK IRLANDE.
35. En défense, les sociétés n’ont là encore pas fait d’observations sur ce point, précisant qu’elles se » réserve[nt] le droit de se prononcer ultérieurement « .
36. En premier lieu, s’agissant de l’existence d’un établissement du responsable de traitement sur le territoire français, la formation restreinte rappelle que la Cour de justice de l’Union européenne (ci-après la « CJUE ») a considéré de façon constante que la notion d’établissement devait être appréciée de façon souple et qu’à cette fin, il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un autre État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question (voir, par exemple, CJUE, Weltimmo, 1er oct. 2015, C 230/14, pts. 30 et 31). La CJUE estime en outre qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).
37. En l’occurrence, la formation restreinte relève, tout d’abord, que les sociétés ont indiqué dans le cadre de la procédure que la société TIKTOK SAS avait repris les fonctions de la société NEWS REPUBLIC. La société TIKTOK SAS, immatriculée en France depuis le 17 mars 2020, dispose de locaux situés au 19 rue Poissonnière à Paris (75002). Aux termes de ses statuts déposés auprès du tribunal de commerce de Paris, elle a notamment » pour objet, en France et dans tous pays, de développer, promouvoir, vendre et/ou distribuer des logiciels, des services, du conseil et/ou des produits permettant ou facilitant l’accès par l’utilisateur de téléphone mobile ou autre support mobile à du contenu sous toutes ses formes : textes, vidéos, musiques, images « .
38. En outre, la formation restreinte note, s’agissant des liens entre ces deux établissements et les sociétés TIKTOK UK et TIKTOK IRLANDE, que les sociétés NEWS REPUBLIC et TIKTOK SAS font toutes deux parties du groupe BYTEDANCE prenant part au traitement des données à caractère personnel des utilisateurs français et sont toutes deux détenues à 100% par la société TIKTOKUK. Elles sont liées entre elles par des accords contractuels.
39. En second lieu, s’agissant de l’existence d’un traitement effectué « dans le cadre des activités » de cet établissement, la formation restreinte relève que, dans sa décision AMAZON EUROPE CORE du 27 juin 2022, le Conseil d’État a rappelé qu’ » il résulte de la jurisprudence de la Cour de justice de l’Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu’au vu de l’objectif poursuivi par cette directive [la directive « e-Privacy »], consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site » (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, pt. 10). Le Conseil d’État a considéré dans cette même décision que tel était le cas lorsque les activités de l’établissement du responsable de traitement consistent en la promotion et la commercialisation d’outils publicitaires contrôlés et exploités par le responsable de traitement fonctionnant notamment grâce aux données collectées par le biais des traceurs de connexion déposés sur les terminaux des utilisateurs du site exploité par le responsable de traitement (pt. 15 de la décision précitée).
40. En l’espèce, la formation restreinte note que les opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs situés en France lors de l’utilisation du réseau social TIKTOK – domaine principal et sous-domaines – sont intrinsèquement liées aux activités de la société TIKTOK SAS (et de la société NEWS REPUBLIC avant que TIKTOK SAS ne reprenne ses fonctions). En effet, les sociétés TIKTOK IRLANDE et TIKTOK UK exploitent le site web « tiktok.com » sur lequel des espaces publicitaires sont achetés par des annonceurs. La vente de ces espaces publicitaires et plus largement la promotion d’outils publicitaires sont assurés, pour le marché français, par la société TIKTOKSAS (et auparavant par la société NEWS REPUBLIC), laquelle collabore avec des annonceurs pour cibler « les publics locaux » et ainsi proposer les publicités les plus pertinentes. Or, l’affichage de publicités personnalisées à un internaute précis n’est possible que si la navigation de ce dernier au sein de l’application a pu être tracée grâce à un cookie, afin de déterminer quel contenu serait le plus pertinent à afficher.
41. Ainsi, le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du réseau social TIKTOK, est effectué dans le cadre des activités de la société TIKTOK SAS (et auparavant de NEWS REPUBLIC). La formation restreinte relève que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont donc réunis.
42. Il en résulte que le droit français est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive « ePrivacy ».
B. Sur la détermination du responsable de traitement
43. La formation restreinte relève, tout d’abord, que les articles 4, paragraphe 7, et 26, paragraphe 1, du RGPD sont applicables à la présente procédure en raison du recours à la notion de « responsable de traitement » dans l’article 82 de la loi Informatique et Libertés, lequel est justifié par le renvoi opéré par l’article 2 de la directive « ePrivacy » à la directive 95/46/CE sur la protection des données personnelles à laquelle s’est substitué le RGPD.
44. Aux termes de l’article 4, paragraphe 7, du RGPD, le responsable de traitement est » la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « . Aux termes de l’article 26, paragraphe 1, du RGPD, « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement ».
45. La rapporteure considère que les sociétés TIKTOK IRLANDE et TIKTOK UK agissent en qualité de responsables conjoints du traitement en cause, en ce qu’elles participent conjointement à la détermination des finalités et des moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social TIKTOK, en particulier sur le site « tiktok.com » et les sous-domaines TIKTOK.
46. Les sociétés n’ont pas fait valoir d’observations sur ce point dans le cadre de leurs écritures.
47. La formation restreinte rappelle que la CJUE s’est prononcée, à plusieurs reprises, sur la notion de responsabilité conjointe du traitement, notamment dans son arrêt Témoins de Jéhovah. Dans cet arrêt, elle a considéré que, selon les dispositions de l’article 2, sous d), de la directive 95/46 sur la protection des données personnelles, « la notion de » responsable du traitement « vise la personne physique ou morale qui, » seule ou conjointement avec d’autres « , détermine les finalités et les moyens du traitement de données à caractère personnel. Cette notion ne renvoie, dès lors, pas nécessairement à une personne physique ou morale unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux devant alors être soumis aux dispositions applicables en matière de protection des données […]. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce » (CJUE, 10 juillet 2018, C 25/17, pts. 65 et 66).
48. La formation restreinte considère que ces développements permettent d’éclairer utilement la notion de responsabilité de traitement conjointe invoquée par la rapporteure à l’égard des sociétés TIKTOK UK et TIKTOK IRLANDE concernées par les traitements en cause.
49. La formation restreinte souligne que la société TIKTOK UK a précisé, dans un courrier du 29 juin 2020 adressé à la CNIL lors de la procédure de contrôle, être » en train de passer à un modèle de responsables conjoints du traitement, dans lequel TikTok Information Technologies UK Limited au Royaume-Uni et TikTokTechnology Limited en Irlande deviendront les responsables conjoints du traitement des données à caractère personnel des utilisateurs situés dans l’UE « . Puis, dans un courrier du 24 septembre 2020, la société TIKTOK IRLANDE faisait état du rôle de TIKTOK IRLANDE et de TIKTOK UK en tant que responsables conjoints du traitement des données des utilisateurs dans l’Espace économique européen.
50. La formation restreinte relève que lors du contrôle en ligne du 3 juin 2021, la politique de confidentialité présente sur le site « tiktok.com » indiquait au paragraphe 11 : « À notre propos et comment nous contacter » : « TikTok Irlande et TikTok UK fournissent la Plateforme et les services connexes et traitent conjointement les données personnelles de la manière décrite aux termes de la présente politique et de nos Conditions de services ».
51. Enfin, dans un courrier du 15 juin 2022, le conseil des sociétés TIKTOK a confirmé que la restructuration annoncée du groupe BYTEDANCE, auquel appartiennent les sociétés TIKTOK IRLANDE et TIKTOK UK, est sans incidence sur leur qualité de responsables conjoints du traitement en ce qui concerne le site « tiktok.com », mis à la disposition des utilisateurs de TIKTOK en France. Il a précisé que les deux sociétés » déterminent conjointement les finalités et les moyens des activités de traitement consistant en l’accès et l’enregistrement d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation des services TikTok « .
52. Il résulte de l’ensemble de ce qui précède que les sociétés TIKTOK UK et TIKTOK IRLANDE déterminent conjointement les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social TIKTOK et agissent donc en qualité de responsables conjoints des traitements en cause.
C. Sur le manquement aux obligations en matière de cookies
53. Aux termes de l’article 82 de la loi Informatique et Libertés, transposant l’article 5, paragraphe 3, de la directive « ePrivacy », » tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur « .
1. Sur la nécessité d’un recueil de consentement aux opérations de lecture et/ou d’écriture
54. La rapporteure relève que les contrôles effectués selon trois parcours d’utilisateurs distincts ont permis de constater que, dès l’arrivée sur le site avant toute action, après navigation sans avoir accepté le dépôt de cookies, après refus des cookies par l’utilisateur et après retrait du consentement, plusieurs cookies étaient déposés, parmi lesquels les cookies nommés » tt_webid « , » tt_webid_v2 « et » ttwid « . D’après les informations communiquées lors de la procédure de contrôle, les sociétés ont d’abord indiqué que le cookie » tt_webid_v2 » avait pour finalité l’analyse interne. Puis, la société TIKTOK IRLANDE a précisé que les finalités de ces trois cookies étaient les suivantes : » sécurité et détection des fraudes (c.-à-d, identification des bots) ; plafonnement de la fréquence de visionnage des vidéos les plus populaires sur la plateforme ; plafonnement de la fréquence des publicités diffusées sur la plateforme et Tests A/B « .
55. Dans ses premières écritures, la rapporteure a relevé que les cookies relatifs au plafonnement de l’affichage, parfois appelé « capping publicitaire », consistent à ne pas présenter à un utilisateur une même publicité de manière trop répétitive. Elle a considéré que ces cookies, dont la finalité s’inscrit dans la finalité plus large de la publicité comportementale en ligne, n’ont pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peuvent pas non plus être regardés comme strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. La rapporteure a donc considéré que les sociétés TIKTOK UK et TIKTOK IRLANDE méconnaissaient les obligations de l’article 82 de la loi Informatique et Libertés en déposant de tels cookies sans consentement de l’utilisateur.
56. Dans leurs premières observations en défense, les sociétés expliquent avoir fourni des informations erronées à la délégation de contrôle s’agissant des finalités des cookies » tt_webid « , » tt_webid_v2 « et » ttwid « . Elles précisent que la finalité annoncée comme » plafonnement de la publicité « est en réalité la lutte contre les spams et que la mauvaise information transmise à la CNIL procède » d’une erreur involontaire commise lors de la rédaction de la réponse, en raison d’une mauvaise communication interne « . Elles ajoutent que cette finalité vise à empêcher les bots et les utilisateurs malveillants d’envoyer des messages indésirables aux utilisateurs (mesure anti-spam) ou de publier des annonces non autorisées par la plateforme TIKTOK par exemple dans la section « commentaires » des vidéos publiées par les utilisateurs. Elles en concluent que les cookies » tt_webid « , » tt_webid_v2 « et » ttwid » sont strictement nécessaires et qu’ils ne requièrent donc pas de consentement de l’utilisateur lorsqu’ils sont déposés sur son terminal.
57. Compte tenu de ces nouveaux éléments, dans ses secondes écritures, la rapporteure a considéré qu’en l’absence de documents communiqués par les sociétés décrivant les spécificités techniques des trois cookies évoqués ci-avant (usage de chaque cookie, programme du cookie, etc.), elle n’était pas en mesure de se prononcer sur la question de savoir si ces trois cookies pouvaient être inscrits sur le terminal des utilisateurs sans recueil préalable de leur consentement, conformément à l’une des deux exemptions prévues par l’article 82 de la loi Informatique et Libertés précitée. Elle a ainsi invité les sociétés TIKTOK UK et TIKTOK IRLANDE à produire des éléments complémentaires au soutien de leurs affirmations.
58. En réponse, les sociétés ont indiqué qu’au 31 août 2022, les cookies » tt_webid « et » tt_webid_v2 » ont été supprimés de l’ensemble des domaines TIKTOK et qu’ils avaient été retirés du domaine principal à une date antérieure. Les sociétés expliquent dorénavant utiliser uniquement le cookie « ttwid ». Elles ont par ailleurs apporté des précisions complémentaires sur les finalités qui étaient poursuivies par lesdits cookies. Elles indiquent que ces cookies ont pour finalité la sécurité et détection des fraudes, le plafonnement de la fréquence de visionnage des vidéos les plus populaires sur la plateforme, la détection et la prévention du spam et des tests permettant de comparer deux versions d’une même page (communément appelés A/B testing) et considèrent qu’ils sont exemptés du recueil du consentement. Par ailleurs, les sociétés précisent que les cookies non essentiels, et donc soumis au recueil du consentement, ne sont placés sur le terminal de l’utilisateur que si celui-ci accède à l’un des sous-domaines TIKTOK.
59. Lors de la séance, compte tenu des derniers éléments communiqués par les sociétés et en l’absence de doctrine stabilisée en l’état s’agissant de certaines finalités évoquées par les sociétésla rapporteure a proposé à la formation restreinte de ne pas retenir de manquement en lien avec la nécessité de recueillir un consentement s’agissant de l’inscription des cookies « ttwid », » tt_webid « et » tt_webid_v2 » sur le terminal de l’utilisateur.
60. La formation restreinte considère que les éléments du dossier soumis à son appréciation ne lui permettent pas de se prononcer sur la caractérisation du manquement relatif à l’inscription de ces trois cookies sur le terminal de l’utilisateur avant toute action de sa part. Elle relève néanmoins qu’il ressort des écritures des sociétés que d’autres cookies non exemptés du consentement sont déposés sur les sous-domaines TIKTOK.
2. Sur les conditions du recueil du consentement au dépôt et à la lecture des cookies non essentiels
61. En droit, la directive « ePrivacy » prévoit en son article 2, f), que le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD.
62. Ainsi, depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11, du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.
63. À cet égard, le considérant 42 de ce Règlement prévoit que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
64. La CNIL considère qu’il résulte de ces dispositions combinées, ainsi qu’elle les a interprétées dans ses délibérations n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou d’écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et n° 2020-092 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » qu’il doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner. Ces instruments visent à interpréter les dispositions législatives applicables et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin qu’ils mettent en œuvre ces mesures ou des mesures d’effet équivalent. En ce sens, il est précisé dans les lignes directrices que celles-ci » ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations […] dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion « .
65. S’agissant des modalités de refus possibles, dans cette même recommandation, la Commission a préconisé » fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement. En effet, elle estime que les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement.
Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser », « autoriser » et « interdire », ou « consentir » et « ne pas consentir », ou toute autre formulation équivalente et suffisamment claire. La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement « .
66. La formation restreinte rappelle que la recommandation de la CNIL évoquée ci-dessus a pour objet d’éclairer les obligations prévues par les législateurs français et européen, en tirant notamment toutes les conséquences du principe de liberté du consentement tel que défini à l’article 4, paragraphe 11, du RGPD, et en les appliquant aux hypothèses de l’acceptation et du refus par l’utilisateur au dépôt de cookies sur son terminal. En effet, ce principe de liberté du consentement implique que l’utilisateur bénéficie d’une « véritable liberté de choix », comme souligné au considérant 42 du RGPD, et donc que les modalités qui lui sont proposées pour manifester ce choix ne soient pas biaisées en faveur du consentement.
67. La rapporteure a observé qu’au jour du contrôle en ligne effectué le 3 juin 2021, si le bandeau affiché sur le site « tiktok.com » contenait un bouton permettant d’accepter immédiatement les cookies, aucun moyen analogue n’était offert à l’utilisateur pour pouvoir refuser, facilement et en un seul clic, le dépôt de ces cookies. Il devait effectuer au moins trois actions (un premier clic sur « Gérer les paramètres », puis un clic sur « Ouvrir les paramètres de cookies » et un clic sur « Enregistrer »). Un tel mécanisme ne présentait donc pas, selon la rapporteure, la même facilité que celle permettant d’exprimer son consentement, en méconnaissance des exigences légales de liberté du consentement, qui impliquent de ne pas inciter l’internaute à accepter les cookies plutôt qu’à les refuser. La rapporteure a donc considéré que les conditions de recueil du consentement mises en œuvre par les sociétés TIKTOK UK et TIKTOK IRLANDE sur le site « tiktok.com » n’étaient pas conformes aux dispositions de l’article 82 de la loi Informatique et Libertés telles qu’éclairées par l’article 4, paragraphe 11, du RGPD sur la liberté du consentement, au moment du contrôle en ligne du 3 juin 2021 et jusqu’au 28 février 2022, date à laquelle les sociétés ont mis en place un bouton « Tout refuser ».
68. En défense, les sociétés expliquent qu’avant la mise en place de ce bouton « Tout refuser », TIKTOK ne se basait pas sur un consentement implicite de ses utilisateurs pour l’utilisation de cookies non essentiels et qu’aucun cookie non essentiel n’était placé sur le terminal des utilisateurs avant qu’ils ne cliquent sur le bouton « Tout accepter ». En ce sens, lorsque l’utilisateur s’abstenait de cliquer sur le bouton « Tout accepter », cela avait pour conséquence qu’aucun cookie non essentiel n’était inscrit sur son terminal et qu’ainsi, il était aussi facile de refuser que de consentir aux opérations de lecture et/ou d’écriture. Elles précisent que les lignes directrices de la CNIL prévoyaient elles-mêmes que l’absence de toute action de la part de l’utilisateur est un mécanisme acceptable pour que l’utilisateur refuse les cookies non essentiels : » La Commission observe que si le consentement doit se traduire par une action positive de l’utilisateur, le refus de ce dernier peut se déduire de son silence. L’expression du refus de l’utilisateur ne doit donc nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement » (§30 des lignes directrices précitées). Les sociétés considèrent que » le Bandeau relatif aux Cookies indiquait explicitement aux utilisateurs que TikTok n’utiliserait des cookies non essentiels que lorsqu’ils cliqueraient sur le bouton [« Accepter tout »]. Toute action de l’utilisateur autre que l’acceptation explicite des cookies étant considérée comme un refus par TikTok, ses pratiques étaient conformes aux Lignes directrices de la CNIL « .
69. En premier lieu, la formation restreinte relève que, si les sociétés TIKTOK UK et TIKTOK IRLANDE font aujourd’hui valoir que l’absence de choix exprimé par l’utilisateur avait pour effet qu’aucun cookie non essentiel ne soit inscrit sur son terminal, le bandeau d’information affiché à l’utilisateur ne contenait aucune information en ce sens.
70. La formation restreinte considère, ainsi que la Commission l’a rappelé dans ses lignes directrices précitées, que si le refus de l’utilisateur de consentir aux cookies peut se déduire de son silence, c’est à la condition que l’utilisateur en soit pleinement informé. À défaut, l’équilibre entre les modalités d’acceptation et de refus n’est pas respecté. Or, tel n’était pas le cas en l’espèce : en visualisant le bandeau, l’utilisateur n’était pas informé des moyens dont il disposait pour ne pas consentir simplement aux cookies.
71. La formation restreinte estime au contraire qu’il n’était pas intuitif pour l’utilisateur de considérer qu’il pouvait continuer à naviguer sans effectuer d’action sur le bandeau cookies. Elle relève par ailleurs que, lorsque l’utilisateur n’effectuait aucun choix et naviguait sur le site, le bandeau restait alors affiché. La persistance du bandeau au bas de la page, bien que n’empêchant pas l’utilisateur d’utiliser les fonctions du site web, était de nature à inciter la personne à faire un choix, ne serait-ce que pour faire disparaître le bandeau afin de faciliter sa navigation. Dès lors, le choix le plus simple pour un internaute était l’acceptation des cookies via le bouton « Tout accepter », puisque le bandeau disparaissait aussitôt dans ce cas. Ainsi, la formation restreinte considère qu’en l’absence d’information sur les conséquences de son inaction, l’utilisateur souhaitant refuser les cookies était fortement incité à cliquer sur le bouton « Gérer les paramètres », puis à effectuer les trois actions décrites ci-avant.
72. De surcroît, la formation restreinte relève le caractère peu explicite du bouton « Gérer les paramètres » proposé dans le cadre de la première fenêtre, qui ne mentionnait pas clairement l’existence de moyens permettant de refuser les cookies. Elle estime que le fait que les cookies n’étaient au demeurant pas déposés est sans incidence sur la confusion générée par le parcours informationnel qui pouvait donner à l’utilisateur le sentiment qu’il n’était pas possible de refuser le dépôt de cookies et qu’il ne disposait pas de modalités de contrôle à cet égard.
73. En deuxième lieu, la formation restreinte note qu’il ressort de plusieurs études que les organismes ayant mis en place un bouton « tout refuser » sur l’interface de recueil du consentement au premier niveau ont vu le taux de consentement relatif à l’acceptation des cookies diminuer. Ainsi, selon le » baromètre Privacy – édition 2021 » publié par la société COMMANDERS ACT, le taux de consentement sur ordinateur est passé de 70% à 55% en avril-mai 2021, depuis que la collecte du consentement est explicite. De même, selon une étude 366-Kantar, il apparaît que 41% des internautes en France ont refusé, systématiquement ou partiellement, le dépôt de cookies en juin 2021.
74. La formation restreinte considère ainsi que le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». En effet, un utilisateur d’Internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur « Gérer les paramètres » et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Il n’est pas contesté qu’en l’espèce, les sociétés offraient un choix entre l’acceptation ou le refus des cookies avant l’insertion du bouton « Tout refuser », mais les modalités par lesquelles ce refus pouvait être exprimé, dans le contexte de la navigation sur Internet, biaisait l’expression du choix en faveur du consentement de façon à altérer la liberté de choix.
75. En dernier lieu, la formation restreinte relève que, si les sociétés indiquent dans leurs écritures que les cookies non essentiels ne sont pas placés sur les terminaux des utilisateurs lorsqu’ils visitent le domaine principal, le consentement éventuellement recueilli par le bandeau du site principal entraîne le dépôt de cookies lors de la visite de certains sous-domaines TIKTOK, sans qu’un nouveau bandeau de recueil du consentement s’affiche à l’entrée de ces sous-domaines. Elle souligne que l’inscription de cookies non essentiels en dehors du domaine principal est corroboré tant par les termes utilisés dans le bandeau constaté lors du contrôle en ligne du 3 juin 2021, en l’occurrence » Nous utilisons des cookies et d’autres technologies pour améliorer votre expérience sur nos sites web. En cliquant sur « Accepter tout », vous accepter que nous utilisions des cookies tiers à des fins d’analyse et de marketing « que par ceux figurant dans la politique de Tik Tok relative aux cookies : » Avec ton accord, nous utilisons les cookies tiers décrits ci-dessous à des fins d’analyse pour promouvoir nos services sur d’autres plateformes et sites web, et pour mesurer l’efficacité de nos propres campagnes marketing. «
76. Les sociétés précisent également dans leurs écritures que les choix des utilisateurs en matière de cookies exprimés lors de l’arrivée sur le domaine principal « tiktok.com » sont enregistrés et gardés en mémoire pour toute la navigation sur l’ensemble des domaines TIKTOK. Ainsi, le choix exprimé par l’utilisateur sur le domaine principal en matière de cookies vaut pour l’ensemble des opérations d’inscriptions de cookies réalisées sur les sous-domaines. La présence d’une modalité permettant de refuser aussi facilement que d’accepter les cookies était donc primordiale, afin que le consentement de l’utilisateur soit donné de manière libre, à la fois sur le domaine principal et sur les sous-domaines.
77. Au regard de ce qui précède, la formation restreinte considère qu’un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où l’utilisateur n’avait pas la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter au moment du contrôle en ligne du 3 juin 2021 et jusqu’à la mise en place d’un bouton « Tout refuser » le 28 février 2022.
3. Sur le défaut d’information des personnes
78. Comme indiqué précédemment, l’article 82 de la loi Informatique et Libertés prévoit que » tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement […] « .
79. Les lignes directrices de la CNIL du 17 septembre 2020 précitées, ayant pour objet de rappeler et d’expliciter le droit applicable, prévoient que » l’information doit être rédigée en des termes simples et compréhensibles par tous et qu’elle doit permettre aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés […]. L’information doit être complète, visible et mise en évidence. Un simple renvoi vers les conditions générales d’utilisation ne saurait suffire » (§§ 22 et 23). La Commission ajoute que » A minima, la fourniture des informations suivantes aux utilisateurs, préalablement au recueil de leur consentement, est nécessaire pour assurer le caractère éclairé de ce dernier : […] la finalité des opérations de lecture ou écriture des données […] » (§24).
80. La rapporteure a relevé que, sur le bandeau figurant lors du contrôle en ligne effectué le 3 juin 2021, parmi les finalités poursuivies par les cookies figurent » des fins d’analyse et de marketing « , sans plus de précisions. Selon elle, ces finalités n’étaient pas assez déterminées et précises pour considérer que l’information est conforme aux obligations découlant de l’article 82 la loi Informatique et Libertés. Le contrôle diligenté le 30 juin 2022 a mis en lumière que les sociétés ont ajouté un bouton « Tout refuser » sur leur bandeau cookies au premier niveau et ont complété l’information relative aux finalités. Néanmoins, la rapporteure a relevé que le bandeau modifié contenait une erreur matérielle (« Tu peux gestion des cookies à tout moment »). Par ailleurs, la rapporteure a noté que, dans le cadre de ce second contrôle, lorsque l’utilisateur cliquait sur « gestion des cookies » sur le bandeau qui lui était présenté à son arrivée sur le site « tiktok.com », une nouvelle fenêtre apparaissait avec une liste de » cookies d’analyse et de marketing « . Une telle fenêtre avec une liste de cookies de » données analytiques et marketing » était également présente au moment du contrôle en ligne effectué le 3 juin 2021. La rapporteure a considéré que, si les sociétés offrent à l’utilisateur la possibilité d’exprimer leur consentement pour chaque cookie, il n’est toutefois pas indiqué quelle est la finalité poursuivie par chaque cookie (analyse ou marketing ou bien les deux à la fois), plaçant ainsi l’utilisateur dans l’impossibilité de savoir exactement ce à quoi il consent. La rapporteure en a conclu que l’information fournie par les sociétés n’est donc pas suffisante et ne permettait pas à l’utilisateur de pouvoir donner un consentement libre et éclairé.
81. En défense, les sociétés expliquent avoir corrigé l’erreur de grammaire dans la version française du bandeau dès le 15 juillet 2022. Elles soulignent que » le bandeau relatif aux cookies était compréhensible pour l’utilisateur moyen » et que la rapidité de la mise à jour souligne leur volonté de coopérer avec la CNIL et de constamment améliorer leurs pratiques sur la base des remarques des régulateurs. Elles ajoutent que les lignes directrices de la CNIL demandent, dans leur paragraphe 24, seulement de fournir aux utilisateurs, au premier niveau d’information, « la finalité des opérations de lecture ou écriture des données », sans préciser le niveau de détail de cette information, et que la CNIL, dans sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation sur les cookies précitée, prévoit qu’une description plus détaillée des finalités peut être accessible via un lien hypertexte fourni dans le premier niveau d’information. Or, tel était bien le cas en l’espèce selon elles puisque les finalités figurant dans le bandeau relatif aux cookies étaient précisées au sein des paramètres des cookies et de la politique sur les cookies, tous deux accessibles par un lieu hypertexte qui fournissaient des informations détaillées supplémentaires aux utilisateurs. Elles ajoutent que, sans reconnaître une quelconque violation de leur part mais dans un effort constant d’amélioration de leurs pratiques, elles ont ajouté plus de détails aux paramètres des cookies le 16 septembre 2022. Quant à la deuxième branche du manquement, les sociétés indiquent qu’il n’existe aucune obligation ni dans la directive « ePrivacy », ni dans la loi Informatique et Libertés, ni dans les lignes directrices de la CNIL de répéter la finalité de chacun des cookies non essentiels dans les paramètres de cookies, dans la mesure où plusieurs cookies servent la même finalité. Les sociétés considèrent que, lorsqu’un certain nombre de cookies ont la même finalité, il est suffisant d’indiquer cette même finalité au-dessus de tous les cookies nonessentiels concernés, avec un bouton slider on/off. Elles ajoutent en outre que la politique sur les cookies, qui est facilement accessible à partir du bandeau relatif aux cookies, fournit des informations détaillées sur la finalité de chaque cookie, et ce de manière individuelle. Les sociétés en concluent que le bandeau relatif aux cookies ainsi que la politique sur les cookies fournissent aux utilisateurs des informations suffisantes pour leur permettre de donner un consentement libre et éclairé. Elles précisent enfin que, dans la mesure où elles s’efforcent d’améliorer continuellement la transparence et la compréhension des utilisateurs, elles ont modifié les paramètres de cookies afin de préciser davantage la description des finalités de chaque cookie non essentiel listé dans les paramètres de cookies sous chaque bouton slider.
82. En premier lieu, s’agissant de la première branche du manquement, la formation restreinte rappelle que tant l’article 5, paragraphe 3, de la directive « ePrivacy » que l’article 82 de la loi Informatique et Libertés prévoient expressément que l’utilisateur doit être informé de manière complète des finalités poursuivies par les opérations de dépôt et de lecture des cookies et des moyens dont il dispose pour s’y opposer.
83. Or, la formation restreinte relève que le bandeau d’information susmentionné affiché en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble cookies déposés. En effet, les termes « améliorer votre expérience sur nos sites web » et » à des fins d’analyse et de marketing » sont particulièrement imprécis.
84. Le terme « analyse » ne permet pas d’identifier la finalité poursuivie par cette analyse, ni la différence avec la finalité se rattachant aux termes « améliorer votre expérience sur nos sites web ». De même, la formation restreinte relève que les finalités « marketing » peuvent recouper des traitements divers (statistiques, prospection commerciale, publicité ciblée, publicité contextuelle, etc.). Ainsi, à la lecture de ce bandeau, l’utilisateur n’était pas mis en mesure de comprendre quels types de contenus allaient lui être présentés et, le cas échéant, sous quelle forme.
85. De surcroît, si la formation restreinte confirme qu’il est possible de compléter l’information figurant au premier niveau via un lien hypertexte, il n’en demeure pas moins que celle présente dans le bandeau dédié doit être suffisamment claire pour permettre à l’utilisateur de faire un choix éclairé dès cette étape. Or, la formation restreinte considère qu’en l’espèce, comme expliqué ci-avant, les finalités ne sont pas développées de façon suffisamment précise. La formation restreinte relève d’ailleurs à cet égard que la nouvelle formulation employée par les sociétés dans le bandeau, telle que constatée lors du contrôle en ligne diligenté le 30 juin 2022, est plus précise, en ce que les sociétés expliquent ce que recouvre la finalité de « marketing », à savoir » pouvoir comprendre l’efficacité des campagnes publicitaires de TikTok « .
86. En deuxième lieu, la formation restreinte relève que, si plusieurs cookies peuvent servir la même finalité ou que certains cookies peuvent poursuivre plusieurs finalités, l’utilisateur doit en être informé lorsque l’interface de recueil du consentement propose d’exprimer son choix cookie par cookie. En effet, l’article 82 de la loi Informatique et Libertés précité prévoit expressément que l’utilisateur « doit être informé de manière claire et complète ». Or, en l’espèce, la formation restreinte considère qu’avant les dernières modifications effectuées par les sociétés courant septembre 2022, l’utilisateur ne savait pas si les cookies listés avaient pour finalité les « données analytiques » et/ou le « marketing », qui semblent deux finalités de nature différente (et par ailleurs désignées de façon trop imprécises) et qui devraient pouvoir être acceptées séparément. La formation restreinte considère donc que, jusqu’en septembre 2022, l’information fournie par les sociétés n’était pas suffisante et ne permettait pas à l’utilisateur de pouvoir donner un consentement libre et éclairé.
87. Compte tenu de l’ensemble de ces éléments, la formation restreinte considère :
— qu’en n’informant pas l’utilisateur des finalités des opérations de lecture et/ou d’écriture d’informations dans son équipement terminal de façon précise sur le premier niveau d’informations au moment du contrôle en ligne du 3 juin 2021, les sociétés TIKTOK UK et TIKTOK IRLANDE méconnaissaient les obligations prévues à l’article 82 de la loi Informatique et Libertés ;
— que, jusqu’en septembre 2022, l’information fournie par les sociétés relatives aux finalités des différents cookies pour lesquels l’utilisateur peut faire un choix en cliquant sur un bouton slider, accessible au deuxième niveau, était insuffisante et ne lui permettait pas de donner un consentement libre et éclairé, en violation de l’article 82 de la loi Informatique et Libertés.
III. Sur les mesures correctrices et leur publicité
88. Aux termes de l’article 20, III, de la loi du 6 janvier 1978 modifiée, » Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]
7° A l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. […] La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 « .
89. L’article 83 du RGPD prévoit quant à lui que « chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives », avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
A. Sur le prononcé d’amendes administratives et leur montant
90. Les sociétés considèrent que les amendes administratives proposées sont disproportionnées et injustifiées au regard des circonstances de l’affaire et de la nature des manquements reprochés. Elles considèrent qu’un rappel à l’ordre suffirait, dans l’hypothèse où la CNIL constaterait l’existence d’un quelconque manquement.
91. La formation restreinte rappelle que l’article 20, paragraphe III, de la loi Informatique et Libertés lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement ou à 10 millions d’euros. Elle ajoute que la détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD.
92. En premier lieu, la formation restreinte souligne qu’il convient, en l’espèce, de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la portée du traitement et du nombre de personnes concernées par ce dernier.
93. La formation restreinte relève le caractère massif du traitement. Elle rappelle que le réseau social comptabilisait 13,9 millions de visiteurs uniques en France pour le mois d’août 2021 d’après les sources publiquement disponibles, ce qui correspond à près d’un quart de la population française. Le nombre de personnes concernées par les traitements en cause est ainsi extrêmement important à l’échelle de la population française.
94. En outre, la formation restreinte note qu’il ressort d’informations publiquement disponibles que 38 % des utilisateurs de TIKTOK ont entre 13 et 17 ans. Les enfants étant des personnes vulnérables, ils méritent une protection particulière.
95. S’agissant de la gravité du manquement, la formation restreinte relève néanmoins, comme détaillé ci-avant, qu’elle n’a pas retenu de manquement en lien avec la nécessité de recueillir un consentement en application de l’article 82 de la loi Informatique et Libertés s’agissant de l’inscription des cookies « ttwid », » tt_webid « et » tt_webid_v2 » sur le terminal de l’utilisateur.
96. En deuxième lieu, la formation restreinte note que les sociétés ont collaboré avec les services de la CNIL et qu’elles ont répondu à toutes les demandes d’information dans les délais impartis. Ce faisant, les sociétés ont respecté les obligations issues de l’article 18 de la loi Informatique et Libertés, sans que les faits de l’espèce ne soient constitutifs d’une circonstance atténuante.
97. En troisième lieu, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2, du Règlement relatif à toute autre circonstance applicable aux faits de l’espèce.
98. La formation restreinte rappelle le contexte général dans lequel les sociétés TIKTOK UK et TIKTOK IRLANDE ont choisi de ne pas offrir à leurs utilisateurs, sur le site « tiktok.com », de faculté de refuser aisément les cookies jusqu’à fin février 2022. En effet, la CNIL a mis en œuvre un plan de mise en conformité sur la question des cookies étalés sur plusieurs années, et qui a d’ailleurs donné lieu à un contentieux devant le Conseil d’État. La CNIL a communiqué publiquement sur son site web, à plusieurs reprises, sur le fait qu’il doit être aussi facile pour l’internaute de refuser les cookies que de les accepter, en particulier le 1er octobre 2020 à l’occasion de la publication des lignes directrices et de la recommandation du 17 septembre 2020 précitées. La mise en conformité devait avoir lieu pour le 1er avril 2021 afin de garantir aux internautes un consentement libre. Des centaines de milliers d’acteurs, des plus petits sites aux plus importants, se sont mis en conformité et ont introduit sur leur interface de recueil du consentement un bouton « tout refuser » ou « continuer sans accepter ».
99. La formation restreinte relève que ce n’est pourtant que le 28 février 2022 que les sociétés ont choisi de se mettre en conformité et d’insérer un bouton « Tout refuser ».
100. En dernier lieu, la formation restreinte rappelle qu’en application des dispositions de l’article 20, paragraphe III, de la loi Informatique et Libertés, les sociétés TIKTOK UK et TIKTOK IRLANDE encourent une sanction financière d’un montant maximum de 2% de leur chiffre d’affaires, lequel s’est élevé à près de […] de dollars en 2019 et à plus de […]de dollars en 2020, ou de 10 millions d’euros, le montant le plus élevé étant retenu. Le montant de l’amende encourue en l’espèce s’élève donc à la somme de 10 millions.
101. Dès lors, au regard des responsabilités respectives des sociétés, de leurs capacités financières et des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de 2,5 millions d’euros à l’encontre de la société TIKTOK UK et une amende de 2,5 millions d’euros à l’encontre de la société TIKTOK IRLANDE apparaissent justifiées.
B. Sur le prononcé d’une injonction
102. La rapporteure proposait à la formation restreinte, dans son rapport initial, de prononcer une injonction de mise en conformité, laquelle pourrait consister en :
— la cessation du dépôt de cookies et traceurs soumis au recueil du consentement des personnes résidant en France lors de l’arrivée sur le site « tiktok.com », avant même qu’elles n’aient eu la possibilité d’effectuer un choix quant aux opérations d’accès ou d’inscription d’informations dans leur terminal, après leur refus des opérations de lecture et écriture ou après retrait de leur consentement ;
— l’information des personnes concernées relative aux finalités des différents cookies pour lesquels l’utilisateur peut faire un choix en cliquant sur un bouton slider, accessible au deuxième niveau, afin de lui permettre de donner un consentement libre et éclairé.
103. Compte tenu des modifications effectuées par les sociétés courant septembre 2022, la rapporteure a proposé, dans ses secondes écritures, de ne pas retenir la deuxième branche de l’injonction puisque, dorénavant, les personnes concernées sont bien informées des finalités des différents cookies pour lesquels l’utilisateur peut faire un choix en cliquant sur un bouton slider. En outre, lors de la séance, la rapporteure a également abandonné la première branche de l’injonction initialement proposée.
104. Les sociétés soutiennent que la première partie de l’injonction proposée par la rapporteure est inappropriée, le cookie « ttwid » étant strictement nécessaire.
105. Compte tenu des éléments développés ci-avant, la formation restreinte considère qu’il n’y a pas lieu de prononcer d’injonction.
C. Sur la publicité
106. Les sociétés contestent la proposition de la rapporteure de rendre publique la présente décision. Pour justifier cette demande de publicité, la rapporteure invoque notamment le nombre de personnes concernées. Les sociétés contestent ce point, considérant que les cookies non essentiels ne sont pas déposés sur le domaine principal, mais seulement sur les sous-domaines TIKTOK pertinents et que le nombre d’utilisateurs français qui visitent ces sous-domaines est beaucoup moins élevé.
107. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause, de la portée du traitement et du nombre de personnes concernées.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer à l’encontre de la société TIKTOK INFORMATION TECHNOLOGIES UK LIMITED une amende administrative d’un montant de 2,5 millions d’euros ( deux millions cinq cent mille euros), au regard du manquement constitué à l’article 82 de la loi Informatique et Libertés ;
• prononcer à l’encontre de la société TIKTOK TECHNOLOGY LIMITED une amende administrative d’un montant de 2,5 millions d’euros (deux millions cinq cent mille euros), au regard du manquement constitué à l’article 82 de la loi Informatique et Libertés ;
• adresser cette décision à la société TIKTOK SAS en vue de son exécution ;
• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.