Reposant sur des modèles économiques innovants, les GAFA (Google, Apple, Facebook, Amazon) se sont largement implantés dans le quotidien de tous les Français. Souvent critiqués dans la presse pour leur gestion des données personnelles, ils ont fait l’objet depuis 2020 de diverses décisions à leur encontre. La CNIL ainsi que d’autres autorités de contrôle se sont intéressées de près à leurs pratiques commerciales et notamment à leur gestion des cookies. 

Le rapport de force entre la CNIL et les GAFA

Nés dans les années 1990-2000, les GAFA fondent en large partie leur modèle économique sur la collecte et l’exploitation des données personnelles. En effet, proposant des services « gratuits » pour les internautes, ils se rémunèrent principalement via des services de publicité ciblée. Pour ce faire, ils collectent et traitent massivement des données personnelles. 

Face à ce marché émergent, les institutions européennes ont rapidement cherché à limiter l’atteinte de ces pratiques sur la vie privée des personnes. Ainsi est né le Règlement européen sur la protection des données personnelles (RGPD), adopté en 2016.

Depuis 2020, la CNIL a décidé de remettre en cause les règles de fonctionnement de ces géants américains concernant leur utilisation des cookies en pronocant plusieurs sanctions. En effet le cookie, petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur permet de collecter de nombreuses données personnelles. 

Les cookies peuvent être utilisés pour différents usages. 

Si certains sont nécessaires au bon fonctionnement d’un site internet, d’autres permettent d’analyser le comportement des utilisateurs, de leur proposer des publicités ciblées ou non. Ainsi on peut dégager trois grandes catégories : 

  1. Les cookies techniques ou fonctionnels, indispensables au bon fonctionnement du site, 
  2. Les cookies permettant de mesurer l’audience que ce soit afin d’optimiser le site ou de collecter des informations statistiques,
  3. Les cookies publicitaires permettant notamment de suivre les utilisateurs sur le site internet pour leur proposer des publicités ciblées en fonction de leurs centres d’intérêt. 

Les acteurs du web déposant des cookies sont tenus d’informer préalablement les utilisateurs et de recueillir leur consentement avant tout dépôt de cookies non fonctionnels. 

Dans un souci de clarté, la CNIL a adopté le 17 septembre 2020 des lignes directrices accompagnées d’une recommandation dédiées à ce sujet. Après réception de plusieurs plaintes, la CNIL a opéré plusieurs contrôles en ligne sur les sites facebook.com, google.fr et youtube.com ainsi que amazon.fr. Ces derniers ont fait apparaitre des manquements importants, notamment dans le recueil du consentement des utilisateurs. Le dépôt automatique de cookies nécessitant le consentement peut donc coûter cher !

Quelles sanctions CNIL pour quels acteurs ?

Facebook60 millions d’euros
Date de la sanction : 31 décembre 2021
Manquement : Refus des cookies par l’utilisation plus difficile que l’acceptation

Google150 millions d’euros
Date de la sanction : 31 décembre 2021
Manquement : Refus des cookies par l’utilisateur plus difficile que l’acceptation

Amazon35 millions d’euros
Date de la sanction : 07 décembre 2020
Manquements : Dépôt de cookies sans recueil préalable du consentement de l’utilisation et défaut d’information

Google100 millions d’euros
Date de la sanction : 07 décembre 2020
Manquements : Dépôt de cookies sans recueil préalable du consentement de l’utilisateur et défaut d’information