Résumé des faits
Après avoir effectué plusieurs contrôles sur le site web « Tiktok.com », la CNIL a constaté des manquements aux obligations de la loi Informatique et Libertés.
Elle a ainsi sanctionné les sociétés Tiktok Information Technologies Uk Limited (Tiktok Royaume-Uni) et Tiktok Technology Limited (Tiktok Irlande) d’une amende publique de 5 millions d’euros pour non-respect des exigences sur le consentement et l’information des personnes.
Motifs de la sanction / Manquements
- Non-respect de l’art. 82 de la loi Informatique et Libertés
Absence de moyen conforme pour le refus de dépôt des cookies.
Absence d’information complète sur les finalités des cookies.
Que retenir de la décision ?
- La CNIL est compétente pour sanctionner les opérations liées aux cookies déposés sur les terminaux des internautes situés en France. Ces opérations relevant de la directive e- privacy qui a été transposée à l’article 82 de la loi Informatique et Libertés, le mécanisme de « guichet unique » ne s’applique pas.
- Deux sociétés sont considérées comme étant conjointement responsables dans le cas où elles déterminent toutes les deux les finalités et les moyens liés au traitement.
- Le fait de recourir à un mécanisme de refus des cookies plus complexe que celui permettant de les accepter décourage les utilisateurs de refuser les cookies et les incite à les accepter.
- Le bouton « Gérer les paramètres » est peu explicite en ce qu’il ne mentionne pas clairement l’existence de moyens permettant de refuser les cookies et crée une confusion, amenant l’utilisateur à croire qu’il n’est pas en mesure de refuser le dépôt des cookies et qu’il n’a pas de contrôle sur leur installation.
- L’utilisateur doit être informé des finalités de dépôt des cookies de façon précise sur leL’utilisateur doit avoir la possibilité de refuser le dépôt des cookies avec le même degré de simplicité qu’il a de les accepter premier niveau d’informations.
- L’utilisateur doit être informé de manière complète des finalités de dépôt des cookies et des moyens dont il dispose pour s’y opposer. Une description générale et approximative des finalités de l’ensemble cookies déposés n’est pas admise. Tel est le cas lors du recours aux termes « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing » qui ne sont pas valides car imprécis.
- L’utilisateur doit être informé des finalités de dépôt des cookies de façon précise sur le premier niveau d’informations.
Le + DLD
- Lors de la détermination du montant de l’amende, la CNIL tient, entre autres, compte des manquements retenus, du nombre de personnes concernées et des communications antérieures de la CNIL sur l’obligation concernée.
- Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées.
Comment Tiktok aurait pu éviter la sanction de la CNIL ?
Selon Ola Mohty, Juriste chez Data Legal Drive :
« Ce qu’il faut retenir : l’information doit être complète et il faut un recours à un moyen de refus simple.
- Une description générale et approximative des finalités de dépôt des cookies est insuffisante et l’utilisateur doit être informé de manière complète sur ces objectifs.
- Le moyen utilisé pour le recueil du consentement ne doit pas créer une confusion amenant l’utilisateur à croire qu’il n’a pas de contrôle sur l’installation des cookies.
L’utilisateur doit avoir la possibilité de refuser le dépôt des cookies avec le même degré de simplicité qu’il a de les accepter. »
