100 000 000 euros pour Google, dont 40 pour Google Ireland et 60 pour Google LLC. 35 000 000 pour Amazon europe. 3 millions pour Carrefour !
L'actualité de ces dernières semaines est chargée pour la formation restreinte de la CNIL en charge de délivrer les sanctions administratives de l'autorité.
Elle a sanctionné Google à hauteur de 100 millions d'euros le 7 décembre 2020. Google a depuis fait appel.
Elle a sanctionné Amazon à hauteur de 35 millions d'euros le 7 décembre 2020.
Elle a sanctionné Carrefour à hauteur de 3 millions d'euros le 18 novembre 2020.
Ce qui étonne est que ces sanctions portent toutes sur un manquement particulier : l'article 82 de la loi Informatique et Libertés (la loi du 6 janvier 1978). Cet article prévoit les règles applicables en matière de cookies en France.
Découvrez comment Dastra vous permet facilement de respecter les conditions de l'article 82. Venez voir notre page relative aux cookies !
L'article 82 de la loi Informatique et Libertés
Un cadre européen
Pour rappel, les cookies sont règlementés en France non pas par le RGPD (ou du moins, en partie seulement) mais par une directive européenne datant de 2002 et modifée en 2009 dite ePrivacy. Cette directive a été transposée, c'est à dire adaptée en droit français dans la loi Informatique et libertés, la loi créant la CNIL.
Jusqu'en 2019, les règles étaient posées à l'article 32 II et depuis l'entrée en application du RGPD, cette loi a été remaniée. L'article a donc changé de numérotation mais reste le même.
Cette précision est importante car cela signifie que les règles n'ont pas été modifées sur le fond. Le principe étant toujours le même : pas de dépôt et/ou de lecture de cookies sans accord préalable de l'internaute.
Des exceptions sont prévues pour les cookies techniques nécessaires au fonctionnement du site et pour les cookies strictement nécessaires à la fourniture du service. Il s'agit notamment des cookies dédiés à l'authentification, à la préférence de langue etc.
Que se passera-t-il le 31 mars 2021
La CNIL a donné un compte à rebours au 31 mars 2021 pour se mettre en conformité avec ses nouvelles lignes directrices. Nul ne sait quel plan d'actions la CNIL a mis en oeuvre à cette date mais l'on peut facilement deviner qu'elle va prendre systématiquement en compte les cookies dans ses contrôles à partir de cette date.
Elle vérifiera notamment si le consentement répond aux éxigences posées par le RGPD. Celui-ci doit répondre à 4 conditions : être libre, éclairé, univoque et spécifique (voir cet article sur le site de la CNIL).
Ces exigences ont été rendues obligatoires par les lignes directrices de la CNIL de juillet 2019. Avant celles ci, les précédentes lignes directrices de 2013 indiquaient que la simple poursuite de la navigation valaient consentement. Le consentement ayant été renforcé avec le RGPD, les lignes directrices se sont alignées.
En l'occurence, les sanctions GOOGLE, AMAZON et CARREFOUR ont été prises sur le fondement des lignes directrices de 2013 et non de 2019 ce qui explique que la CNIL a agi et sanctionné avant le 31 mars 2021.
Les cookies nécessitant le consentement étaient déposés sur leurs sites dès l'arrivée de l'internaute avant même qu'il ait défilé sur la page. Il ne s'agissait pas d'un choix positif quand bien même celui-ci est matérialisé par la simple poursuite de sa navigation.
Une vérification rapide montre que la plupart des sites aujourd'hui ne posent des cookies bien avant toute action de l'utilisateur et donc sans même qu'il continue sa navigation.
La CNIL en action
La CNIL, qui s'est un peu affolée par les constats qu'elle fait à travers son observatoire sur 1000 sites à forte audience, a fait une récente piqure de rappel pour inciter les organismes à auditer leur site web ou applications mobiles pour vérifier ce point.
Dans son obervatoire, elle a fait ce que la CNIL fait lors de ses contrôles en ligne. Elle analyse les cookies déposés avant toute action de l'internaute. Si des cookies nécessitant le consentement sont déposés alors il y a infraction à la loi.
Nous analysons pour cette étude les communications qui ont lieu entre un navigateur « neutre », c’est-à-dire ne réalisant aucune opération de filtrage ou de blocage des communications avec les sites visités et les différents serveurs appelés lors d'une première visite sur les 1000 sites français les plus utilisés selon le classement établi par la société Alexa, sans interagir avec les pages (c'est-à-dire sans aucun clic, ni scroll, ni mouvement de souris).
Méthodologie utilisée par la CNIL décrite ici : https://linc.cnil.fr/obs-cookies/
Alors que faire ?
La première chose est de s'assurer que des cookies nécessitant le consentement ne sont pas déposés AVANT toute action de l'utilisateur.
Qu'est ce qu'un cookie ?
Soyons honnêtes, il ne s'agit pas d'un petit truc cool et sympathique. Il s'agit d'un fichier traceur créé sur votre ordinateur ou votre téléphone et qui sera lu par le site que vous visitez. Ce fichier contient un numéro unique qui permettra de vous identifier.
En l'occurrence, à chaque fois que vous visitez un site et que ce site utilise ce cookie, il ira enregistrer dans sa base de données la visite que vous lui avez rendu.
Ca peut fonctionner sur le même site mais c'est surtout uilisé entre beaucoup de sites différents, ce qui permet de savoir quels sites vous avez visité et retracer votre historique de navigation (encore faut-il que les sites visités demandent la lecture du même cookie traceur).
Pourquoi les cookies ?
Au départ, il s'agissait uniquement de fichiers techniques permettant d'enregistrer un panier d'achat. Puis l'industrie publicitaire a trouvé qu'ils étaient super utiles pour identifier les internautes et leur afficher du contenu personnalisé. Cela a contribué à l'essort de l'internet que l'on connait en donnant accès à beaucoup de contenu sans payer directement mais en visualisant de la publicité.
Aujourd'hui, le cadre juridique s'affirme et l'on voit que les systèmes de financement des sites internet évoluent, notamment sur des abonnements payants.
Maintenant que les GAFA sont sanctionnés, pourquoi moi ?
La règle s'applique à tous et le système n'est pas dépendant que des GAFA. Aujourd'hui, une partie de la responsabilité des atteintes à la vie privée des internautes repose sur tous les sites qui déposent ces cookies.
Comment être conforme ?
Pour être conforme, il faut que le site internet respecte les conditions de l'article 82 vu plus haut.
La CNIL a publié des lignes directrices et des recommandations pour y voir plus clair.
Ainsi, elle invite les responsables de site internet (mais aussi les applications mobiles) à mettre en place un mécanisme d'information et de recueil du consentement des internautes.
Pour la plupart des cookies, il faudra obtenir le consentement et respester un certain nombre de règles que nous avons décrit dans cet article.
C'est bien mais en pratique ?
Cela passe notamment par une fenêtre surgissante (plus courrament dit "pop up").
Par exemple, sur notre site internet nous avons mis en place cette pop-up (que vous avez déjà vue en arrivant sur cet article !) :
L'utilisateur doit pouvoir revenir très simplement sur son choix. Il est recommandé ainsi de mettre un lien visible et accesible depuis chaque page pour réexprimer ce choix. Par exemple, un bouton cookies, ou un lien en bas de chaque page.
Il faut également pouvoir prouver que les personnes ont consenti. Cela passe par la mise en place d'un mécanisme de recueil du consentement.
En pratique, on sollicitera l'usage d'une plateforme de gestion du consentement (en anglais CMP).
Comment Dastra peut aider ?
Dastra peut aider les entreprises à mettre en place l’ensemble des obligations demandées, aujourd’hui très complexes, à travers sa fonctionnalité widget de consentement aux cookies.
Dastra a mis en place un système simple et pédagogique pour vous permettre de répondre à toutes ces exigences même sans être expert, et avoir un site internet conforme. Contactez-nous pour en savoir plus!
Notre plateforme est simple et guidée. Cliquez ici pour en savoir plus sur la CMP de Dastra.