Les deux géants ont chacun reçu 150 et 60 millions d’euros d’amende pour une mauvaise gestion du recueil du consentement des internautes pour le dépôt de cookies. La Cnil outrepasse de ce fait le principe du « guichet unique » du RGPD.
La Commission informatique et libertés (Cnil) a infligé de lourdes amendes de respectivement 150 et 60 millions d'euros à Google et Facebook pour leurs pratiques en matière de recueil du consentement pour les cookies, ces traceurs numériques utilisés notamment pour la publicité ciblée, mais aussi la mesure des campagnes et le tracking cross-site.
Le montant de l'amende infligée à Google est un record toutes catégories pour les sanctions imposées par la Cnil, devant une précédente amende de 100 millions d'euros à Google en décembre 2020, déjà au sujet des cookies. « La Cnil a constaté que les sites facebook.com, google.fr et youtube.com ne permettent pas » de refuser les cookies « aussi simplement » que de les accepter, a-t-elle indiqué. Les deux plateformes ont trois mois pour se mettre en conformité, à défaut de quoi « les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard », a-t-elle ajouté.
Lire aussi: Cnil et consentement : le grand jour arrive
Dans une brève réaction officielle, Google a annoncé un changement de ses pratiques, à la suite de la décision de la Cnil. « Dans le respect des attentes des internautes, (...) nous nous engageons à mettre en place de nouveaux changements, ainsi qu'à travailler activement avec la Cnil en réponse à sa décision, dans le cadre de la directive (NDLR européenne) ePrivacy », a assuré le géant américain.
Les cookies sont des petits fichiers textes installés par les sites internet sur les terminaux de leurs visiteurs, à des fins techniques ou de publicité ciblée. Ils permettent notamment aux régies de tracer la navigation de l'utilisateur, pour pouvoir lui envoyer de la publicité personnalisée en lien avec ses centres d'intérêt, mais aussi mettre en place les cappings de campagne, et mesurer leur efficacité. Les cookies tiers sont eux en voie d’extinction, depuis que Google, justement, a annoncé ne plus les supporter dans son navigateur Chrome, d’ici 2023.
Lire aussi: Mais quel successeur pour le cookie tiers ?
Depuis l'entrée en vigueur du règlement européen sur les données personnelles en 2018, les sites internet sont tenus de respecter des règles plus strictes pour recueillir le consentement des internautes avant de déposer leurs cookies. Mais surtout, afin de clarifier les demandes du RGPD, la Cnil avait émis des directives en 2020 afin d’encadrer plus précisément les modalités de recueil du consentement des internautes pour les cookies tiers. Plusieurs sites ont été épinglés pour leur non-conformité, et mis en demeure de se mettre au pas de ces directives.
Lire aussi : La Cnil cible les grandes plateformes dans une nouvelle série de mises en demeure
Dans le cas des sanctions infligées à Google et Facebook, la Cnil met en cause le contraste entre la facilité qu'a l'internaute à accepter les cookies et la difficulté à les refuser. « Les sites web facebook.com, google.fr et youtube.com proposent un bouton permettant d'accepter immédiatement les cookies », a expliqué la Cnil. En revanche, « plusieurs clics sont nécessaires pour refuser tous les cookies », a-t-elle dénoncé. Pour ajouter à la confusion, le bouton ajouté par Facebook pour refuser les traceurs s'appelle même « Accepter les cookies », a-t-elle relevé.
Une décision juridique importante
Mais au delà de l'amende, la décision de la Cnil est importante sur le plan juridique. Car jusqu'à ce jour, les plateformes, concernant le RGPD, étaient soumises au principe du guichet unique, c'est-à-dire qu'elles ne dépendaient, en matière d'interprétation du règlement, que des autorités du pays dans lequel elles étaient implantés. En ce qui concerne Google et Facebook: l'Irlande, « un pays qui n'a pas une interprétation aussi restrictive du recueil de consentement, explique un expert du secteur. Cela créait donc un distorsion de concurrence, car tout les acteurs du web et de la publicité digitale n'étaient pas logés à la même enseigne. » Mais la loi ePrivacy, plus ancienne, ne tient pas compte du principe du guichet unique. Il faut croire que la Cnil aura su trouver un mécanisme légal permettant d'allier les deux règlements: le RGPD en ce qui concerne le recueil du consentement, et ePrivacy pour ce qui est de faire fi du guichet unique. Quoi qu'il en soit, c'est une décision d'importance pour le marché, qui marque que tout le monde doit être traité d'égal à égal en France, en ce qui concerne la publicité numérique. Reste à savoir si les plateformes feront appel de cette décision ou nom, ou remettront en cause la compétence de la Cnil pour cette question auprès du conseil d'Etat.