lundi, avril 29, 2024

ThePressFree

Blog d'actualité

News 

Une note salée pour les cookies ! – IP/IT et Communication

ThePressFree Aucun commentaire


Postérieurement à la publication par la CNIL de ses recommandations et lignes directrices en matière de biscuits en septembre 2020, l’année 2021 a été particulièrement marquée par le renforcement des contrôles des pratiques des responsables de traitement tel qu’annoncé dans le plan d’action de l’autorité. Si plusieurs organismes ont été visés par de « simples » mises en demeure (en mai puis en juillet), les géants du web Facebook Ireland Limited (« Facebook ») d’une part, et Google LLC et Google Ireland Limited d’autre part (« Google ») ont écopé d’une sanction financière sans sommation, de respectivement 60 et 150 millions d’euros. Les décisions étant similaires, leur commentaire sera groupé.

Absence de consentement au dépôt de traceurs

Les bandeaux biscuits constatés par l’autorité, sur les sites des défenseurs, se présentaient tous sous des formes quasi-identiques :

  • un premier niveau présentant un double choix à l’internaute – celui d’accepter les biscuits ou d’accéder à un second niveau de paramétrage ;

  • un second niveau permettant de consentir ou non avec plus de granularité à chaque typologie de traceurs selon leur finalité, et le cas échéant de refuser leurs dépôts et lectures sur le terminal utilisé.

De cette architecture découle un constat sans appel : il est plus aisé de consentir aux biscuits que de les refuser. Et la CNIL de citer une étude des universités de Cambridge et du MIT selon laquelle « 93,1 % des internautes confrontés à des bandeaux biscuits s’arrête au premier niveau » (pt [98] de la sanction c/ Facebook), une forme de lassitude manifestée par les utilisateurs ayant un impact considérable sur la stratégie publicitaire des GAFAM.

Sans surprise, la CNIL considère que compliquer ainsi le refuse de biscuits à travers un parcours utilisateur moins fluide revient à inciter les internautes à les accepter, alors que les deux actions présentent le même degré de facilité – une position tenue par la CNIL depuis 2019, entérinée par le Conseil d’État dès juin 2020 (CE 19 juin 2020, n° 434684, pt [15], Lebon ; AJDA 2020. 1264 ; Dalloz IP/IT 2021. 41, obs. D. Lebeau Marianna et A. Balducci ; Légipresse 2020. 343 et les obs. ; idem. 495, étude P. Alix ; idem. 2021. 240, étude N. Mallet-Poujol ). Par conséquent, ces modalités opérationnelles ne permettront pas de garantir la liberté du consentement, une de ses caractéristiques visées à l’article 4.11 du RGPD, le Comité européen de protection des données estimant que « l’adjectif « libre » implique un choix et un contrôle réel pour les personnes concernées » (Lignes directrices du CEPD du 5/2020…

Laisser un commentaire