immeuble Franklin

La sanction de la CNIL à l’encontre de Google (Première partie)

1ère partie : Analyse des passages de la délibération sur les violations des règles sur les cookies commises par Google

Par la délibération SAN-2020-012 du 7 décembre 2020, la CNIL a prononcé une sanction financière de :

  • 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED
  • 60 millions d’euros à l’encontre de GOOGLE LLC

Et a prononcé les injonctions suivantes :

  • Informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site google.fr :
    • des finalités de tous les cookies soumis au consentement
    • des moyens dont elles disposent pour les refuser

Cette injonction étant assortie d’une astreinte de 100 000 € par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération.

 

PARCOURS DE DEPOT DE COOKIES ET D’OPT-IN/OPT-OUT DE GOOGLE

(constats effectués par la CNIL lors du contrôle du 16 mars 2020)

 CRITIQUES DE LA CNIL

INSTALLATION AUTOMATIQUE DES COOKIES PUBLICITAIRES DES L’ARRIVEE SUR LE SITE

Lorsqu’un utilisateur arrivait sur la page google.fr :

  • Dépôt automatique de 7 cookies, dont 4 cookies publicitaires était automatiquement.
  • Google aurait dû recueillir préalablement le consentement des utilisateurs avant de déposer les cookies.

AFFICHAGE DU BANDEAU

  • affichage d’un bandeau d’information en pied de page, contenant notamment :
    • la mention : Rappel concernant les règles de confidentialité de Google et
    • 2 boutons intitulés « Me le rappeler plus tard » ou « Consulter maintenant ».
  • aucune information sur les cookies n’était fournie à ce stade sur ce bandeau alors même que des cookies ayant une finalité publicitaire avaient déjà été déposés dès la connexion sur la page google.fr.
  • le simple renvoi aux règles de confidentialité était loin d’être suffisamment explicite à ce stade pour permettre aux personnes lisant ce bandeau de savoir qu’une information relative aux cookies était disponible plus loin dans le parcours de navigation.

MENTIONS D’INFORMATIONS

Lorsque les internautes cliquaient sur « Consulter maintenant » :

  • Ouverture de fenêtres surgissantes contenant une information générale relative aux données à caractère personnel traitées par les services Google.

 

  • les personnes n’étaient toujours pas informées à ce stade qu’elles pouvaient refuser les cookies sur leur équipement terminal, dès lors qu’elles étaient seulement avisées :
    • qu’elles pouvaient gérer les résultats de recherche en fonction de l’activité de recherche ou encore gérer les types d’annonces Google qui s’affichent.
    • l’information fournie dans le cadre de cette fenêtre surgissante ne comportait aucun renvoi explicite aux règles de confidentialité applicables aux cookies.
EN SYNTHESE : la formation restreinte relève que :

  •  l’architecture informationnelle mise en place était telle que pour y parvenir l’utilisateur devait :
    •  comprendre par lui-même qu’il lui fallait faire défiler le contenu de toute la fenêtre surgissante,
    • sans cliquer sur l’un des cinq liens hypertextes figurant dans ce contenu (« notre règlement », « En savoir plus », « Modifier les paramètres de recherche », « Modifier les paramètres des annonces », « Modifier les paramètres Youtube »),
    • pour finalement cliquer sur le bouton Autres options figurant tout en bas de la fenêtre.
  • l’information fournie par les sociétés, tant dans le cadre du bandeau que dans celui de la fenêtre surgissante, ne permettait pas aux utilisateurs d’être préalablement et clairement renseignés :
    • sur l’existence de cookies, ni
    • de la finalité de ceux-ci, ni
    • des moyens de les refuser.
  • le défaut de recueil du consentement préalablement au dépôt des cookies constitue une violation de l’article 82 de la loi informatique et libertés.

EN COURS DE PROCEDURE GOOGLE A MODIFIE LE DEPOT DES COOKIES

  • arrêt du dépôt automatique des cookies publicitaires dès l’arrivée sur le site depuis le 10 septembre 2020.
  • Insertion d’une mention d’information préalable relative aux cookies dès lors que les utilisateurs arrivant sur la page google.fr.
  • Les utilisateurs sont désormais ouvertement et directement informés de l’installation des cookies.
Ceci constitue une avancée indéniable pour la CNIL par rapport aux précédents bandeaux d’information.

Mais la formation restreinte considère que l’information délivrée n’est toujours pas claire et complète dans la mesure où elle ne renseigne pas l’utilisateur sur l’ensemble des finalités des cookies déposés et des moyens dont il dispose pour s’y opposer.

SUR LE MECANISME DE RETRAIT DU CONSENTEMENT/DE L’OPPOSITION AUX COOKIES

Google indique qu’elle tenait, et continue à tenir compte du choix de l’utilisateur de retirer son consentement à travers un mécanisme permettant aux utilisateurs de personnaliser les annonces sur la recherche Google ainsi que sur le web. En déposant ces cookies à finalité publicitaire avant même d’avoir recueilli le consentement des utilisateurs (absence d’opt-in), l’emploi de l’expression retirer son consentement est particulièrement abusif.

Dès lors, la CNIL considère que le mécanisme mis en place n’était pas un consentement préalable (opt-in), mais un droit d’opposition (opt-out).

Après avoir désactivé la personnalisation des annonces sur la recherche Google, la délégation de la CNIL a constaté que plusieurs de ces cookies à finalités publicitaires demeuraient stockés sur son équipement terminal.

Google a reconnu qu’un cookie poursuit une finalité exclusivement publicitaire demeurait déposé sur le terminal de l’utilisateur sans se voir attribuer la valeur opt-out, les informations du cookie continuaient d’être systématiquement exploitées lors de chaque nouvelle interaction avec le domaine concerné.

En ne permettant pas aux utilisateurs de :

  • refuser ou
  • ne plus exploiter les cookies nécessitant leur consentement.

Google a violé l’article 82 de la loi Informatique et libertés.