Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Facebook, 31 décembre 2021

Résumé des faits

Après avoir reçu plusieurs plaintes au sujet des modalités de refus des cookies sur le site web facebook.com, la CNIL a effectué un contrôle sur ce site et a constaté qu’un bouton permettant d’accepter les cookies existe mais le moyen proposé pour le refus des cookies est plus complexe et laisse penser qu’il n’est pas possible de refuser les cookies.
La CNIL a ainsi sanctionné Facebook d’une amende publique de 60 millions d’euros, pour non-respect de l’exigence portant sur la liberté du consentement. Elle a également adopté à l’encontre de Facebook une injonction de modifier les modalités de recueil du consentement des utilisateurs relatif aux cookies et de recourir à un mécanisme qui garantit la liberté du consentement.

Motifs de la sanction / Manquements

  • Non-respect de l’article 82 de la loi Informatique et Libertés : absence de mécanisme permettant de refuser les cookies aussi facilement que de les accepter.
  • Non-respect de l’article 4, 11) du RGPD : absence de mécanisme permettant de consentir librement.

Que retenir de la décision ?

  • Le principe de liberté du consentement implique que l’utilisateur ait une véritable liberté de choix et un contrôle réel et que le mécanisme en place ne soit pas biaisé en faveur du consentement.
  • Un mécanisme qui fait apparaître au sein d’une première fenêtre le bouton qui permet d’accepter les cookies et qui relègue au sein d’une deuxième fenêtre le bouton permettant de les refuser n’est pas conforme à l’exigence sur la liberté du consentement.
  • La nécessité d’effectuer plus d’actions pour refuser les cookies que pour les accepter décourage les utilisateurs de refuser les cookies et ne correspond pas à un moyen valide présentant un même degré de simplicité pour le refus et pour l’acceptation des cookies.
  • Le bouton « Gérer les paramètres de données » présente un caractère peu explicite en ce qu’il ne mentionne pas clairement l’existence de moyens permettant de refuser les cookies.
  • La CNIL est compétente pour sanctionner les pratiques qui concernent les cookies impliquant un dépôt sur les terminaux d’utilisateurs se trouvant en France. Ces opérations relevant de la directive e-privacy qui a été transposée à l’article 82 de la loi Informatique et Libertés, le mécanisme de « guichet unique » ne s’applique pas.

Les + de Data Legal Drive

  • La CNIL n’est pas tenue d’adresser une mise en demeure au responsable de traitement avant d’engager une procédure de sanction à son encontre.
  • Les revenus publicitaires générés à partir des traitements des données concernées par le contrôle sont pris en compte lors de la détermination du niveau de l’amende.

Délibération complète de la CNIL

Consulter

À lire aussi