1ère partie : Analyse des passages de la délibération sur les violations des règles sur les cookies commises par Google
Par la délibération SAN-2020-012 du 7 décembre 2020, la CNIL a prononcé une sanction financière de :
- 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED
- 60 millions d’euros à l’encontre de GOOGLE LLC
Et a prononcé les injonctions suivantes :
- Informer les personnes concernées au préalable et de manière claire et complète, par exemple sur le bandeau d’information présent sur la page d’accueil du site google.fr :
- des finalités de tous les cookies soumis au consentement
- des moyens dont elles disposent pour les refuser
Cette injonction étant assortie d’une astreinte de 100 000 € par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération.
PARCOURS DE DEPOT DE COOKIES ET D’OPT-IN/OPT-OUT DE GOOGLE
(constats effectués par la CNIL lors du contrôle du 16 mars 2020) |
CRITIQUES DE LA CNIL |
INSTALLATION AUTOMATIQUE DES COOKIES PUBLICITAIRES DES L’ARRIVEE SUR LE SITE |
|
Lorsqu’un utilisateur arrivait sur la page google.fr :
|
|
AFFICHAGE DU BANDEAU |
|
|
|
MENTIONS D’INFORMATIONS |
|
Lorsque les internautes cliquaient sur « Consulter maintenant » :
|
|
EN SYNTHESE : la formation restreinte relève que :
|
|
EN COURS DE PROCEDURE GOOGLE A MODIFIE LE DEPOT DES COOKIES |
|
|
|
|
Ceci constitue une avancée indéniable pour la CNIL par rapport aux précédents bandeaux d’information.
Mais la formation restreinte considère que l’information délivrée n’est toujours pas claire et complète dans la mesure où elle ne renseigne pas l’utilisateur sur l’ensemble des finalités des cookies déposés et des moyens dont il dispose pour s’y opposer. |
SUR LE MECANISME DE RETRAIT DU CONSENTEMENT/DE L’OPPOSITION AUX COOKIES |
|
Google indique qu’elle tenait, et continue à tenir compte du choix de l’utilisateur de retirer son consentement à travers un mécanisme permettant aux utilisateurs de personnaliser les annonces sur la recherche Google ainsi que sur le web. | En déposant ces cookies à finalité publicitaire avant même d’avoir recueilli le consentement des utilisateurs (absence d’opt-in), l’emploi de l’expression retirer son consentement est particulièrement abusif.
Dès lors, la CNIL considère que le mécanisme mis en place n’était pas un consentement préalable (opt-in), mais un droit d’opposition (opt-out). |
Après avoir désactivé la personnalisation des annonces sur la recherche Google, la délégation de la CNIL a constaté que plusieurs de ces cookies à finalités publicitaires demeuraient stockés sur son équipement terminal.
Google a reconnu qu’un cookie poursuit une finalité exclusivement publicitaire demeurait déposé sur le terminal de l’utilisateur sans se voir attribuer la valeur opt-out, les informations du cookie continuaient d’être systématiquement exploitées lors de chaque nouvelle interaction avec le domaine concerné. |
En ne permettant pas aux utilisateurs de :
Google a violé l’article 82 de la loi Informatique et libertés. |