#318 jurisprudence CNIL cookie traceur (nov + déc 2020): analyse

La jurisprudence CNIL cookie traceur est particulièrement dense entre novembre et décembre 20204 décisions de sanction pécuniaire en trois semaines :

– Carrefour France (délibération n°SAN 2020-008 du 18 novembre 2020);

– Carrefour Banque (délibération n°SAN 2020-009 du 18 novembre 2020);

– Google LLC et Google Ireland Ltd (délibération n°SAN 2020-012 du 7 décembre 2020)

– Amazon Europe Core (délibération n°SAN 2020-013 du 7 décembre 2020).

Le montant des condamnation est – à chaque fois – à la hauteur du nombre de cookies traceurs « à des fins publicitaire » déposés par chaque entreprise controlée :

60 millions d’euros pour Google LLC (la SARL de Google en Californie) et 40 millions d’euros pour Google Ireland, la filiale qui commercialise les services de Google vers la France (notamment) : « lors de l’arrivée sur le site web google.fr , 7 cookies ont été déposés sur [l’] équipement terminal [des utilisateurs], avant toute action de leur part« .

35 millions d’euros pour la filiale luxembourgeoise d’AMAZON qui gère le site web amazon.fr : « quel que soit le parcours de l’utilisateur, que celui-ci se rende sur la page d’accueil du site amazon.fr ou bien qu’il se rende sur une page produit du site via une annonce, plus de 40 cookies poursuivant une finalité publicitaire étaient déposés sur le terminal de l’utilisateur« .

2,25 millions d’euros pour Carrefour France qui gère les cookies des sociétés du groupe Carrefour : « le dépôt de 39 cookies était automatique dès l’arrivée sur la page d’accueil du site, et avant tout action de l’utilisateur. Parmi ces trente-neuf cookies, trois appartenaient à la solution Google Analytics…« .

800.000 euros pour Carrefour Banque, filiale du groupe Carrefour (soit « 0,25% de [son] produit net bancaire« ) : « le dépôt de 31 cookies était automatique dès l’arrivée sur la page d’accueil du site et avant toute action de l’utilisateur… cinq de ces cookies… n’avaient ni pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ni n’étaient strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur… deux cookies sont des cookies de traçage, le premier permettant de suivre un utilisateur se rendant sur différents noms de domaine appartenant à la société Microsoft, le second enregistrant un identifiant sur le terminal de l’utilisateur afin de le géolocaliser.« 

A ma connaissance, la seule jurisprudence CNIL cookie traceur  remontait à 2017 (délibération du 27 avril 20017) et avait condamné un réseau social californien au montant maximum prévu à l’époque, soit 150.000 euros…

Le moins que l’on puisse dire est que le niveau de sanction a littéralement explosé en 2020.

CNIL cookie traceur e-privacy RGPD ©Ledieu-Avocats

jurisprudence CNIL cookie traceur : une offensive délibérée de la CNIL ?​

Oui, ça sent l’offensive tout à fait délibérée de la CNIL à l’égard des « opérateurs » de cookies qui, manifestement, ont du mal à intégrer que la Directive 2002/58 est toujours en vigueur…

Lisez les noms des sociétés condamnées et ne soyez pas surpris(e). La CNIL avait prévenu le secteur depuis mars 2020 (pas de répit pour les contrôles en cas de manquement grave) et manifestement, la poursuite (sans fin) des discussions (encore enlisées) sur le projet de Règlement e-Privacy n’y est pas étrangère.

Car , actuellement, les opérations de lobbying contre l’adoption du Règlement « e-Privacy » (sensé remplacer la Directive 2002/58) sont intenses.

La preuve ? Malgré l’annonce de l’Allemagne (qui préside l’UE de juillet décembre 2020) de « boucler » cette réforme en décembre (2020), il semble qu’il ne se passe pas grand chose à Bruxelles (sauf – pardon du peu – l’annonce le 15 décembre de la mise en route des projets Digital Service Act (DSA) et Digital Market Act (DMA) (Lire les Echos du 15 décembre 2020 : « Régulation du numérique : l’Europe montre les dents face aux Gafa« ).

Bref, si le remplacement de la directive 2002/58 tarde, la CNIL, elle, agit…

jurisprudence CNIL cookie traceur novembre 2020 décembre 2020 e-privacy RGPD ©Ledieu-Avocats.030

jurisprudence CNIL cookie traceur : "name and shame" !

En condamnant des « grandes marques », la CNIL poursuit également sa politique de Name and Shame : les 4 délibérations de sanction sont toutes assorties d’une publication « nominative » pendant deux ans.

En droit pénal, ça s’appelle le principe d’exemplarité de la peine.

Dans la délibération « Carrefour Banque » (délibération n° SAN 2020-009 du 18 novembre 2020), la CNIL prend le soin de préciser que :

« … la publicité de la présente décision se justifie au regard de la gravité des manquements sanctionnés et du nombre de personnes concernées… cette mesure permettra d’informer l’ensemble des clients et des prospects potentiels de la société de l’existence de différents manquements sanctionnés et notamment des manquements à la déloyauté et aux cookies.« 

Vu les sociétés condamnées, il semble que la CNIL poursuive sa pratique traditionnelle de condamnation secteur d’activité par secteur d’activité (la grande distribution n’avait pas été condamnée depuis longtemps).

Il semble enfin que la CNIL ait clairement souhaité mettre un terme à l’un des principaux reproches qui lui étaient adressés depuis l’adoption du RGPD : ne s’en prendre qu’aux « petits » et ne pas sanctionner les « gros », pourtant principaux utilisateurs des techniques encadrées  par la Directive « e-Privacy » du 12 juillet 2002.

Vu le bruit sur les réseaux sociaux professionnels qui s’intéressent à la matière depuis plusieurs jours, il semble que la CNIL ait été entendue.

COOKIES TRACEURS e-privacy RGPD ©Ledieu-Avocats 15-12-2020

L'industrie de la pub ciblée en ligne dans la tourmente ?

Ce n’est pas moi qui le prédis, mais la presse en ligne qui annonce de nouveaux recours un peu partout en Europe (voir le site web de l’Usine Digitale du 11 décembre 2020). 

« Publicité en ligne : L’industrie de l’adtech, Google en tête, accusée de violer le RGPD« 

« Plusieurs organisations européennes de défense de la vie privée ont déposé des plaintes contre Google et l’IAB, une association professionnelle qui représente les acteurs de l’adtech. Elles accusent ces entreprises de violer le RGPD en recourant aux enchères publicitaires en temps réel (RTB).« 

jurisprudence CNIL cookie traceur : l'article 82 loi CNIL ?

Revenons à notre jurisprudence CNIL cookie traceur…

Les 4 condamnations de la CNIL ont en commun la sanction du non-respect de l’article 82 loi « Informatique et Libertés » qui règlemente l’installation de cookie traceur sur le terminal d’un « user ».

Sans être dans le secret des dieux (et sans jeu de mot de ma part), il faut relever un argument de bon sens : le constat du non-respect de l’article 82 est matériellement assez facile pour la CNIL.

Il lui suffit de disposer d’un terminal (« ordiphone » ou ordinateur classique) et de réaliser une connexion sur le site web d’une des « cibles » pour recevoir directement des cookies, manifestement « à des fins publicitaires » et manifestement sans aucune demande de consentement préalable.

Notre CNIL n’a pas besoin de mobiliser autant de ressources que celles nécessaires pour condamner un site de e-commerce (voir nos commentaires de la délibération du 28 juillet 2020) ou les pratiques de démarchage d’une société ayant « pour activité l’installation d’équipements d’isolation, de pompes à chaleur et d’ouvrants » (délibération du 21 novembre 2019).

La recette est donc simple et pas chère en termes de constitution de preuve.

Par ailleurs, si l’on analyse ces problématiques en termes de « procédure », la CNIL s’est engouffrée dans la brèche de la Directive 2002/58/CE (re-transposée dans la la loi « Informatique et Libertés » par l’Ordonnance du 12 décembre 2018) pour échapper au mécanisme des poursuites avec autorité « chef de file » au sens du RGPD.

Car il faut bien le reconnaitre, coté autorités de contrôle, les règles de procédure du RGPD ne fonctionnent pas très bien : combien de procédures sont aujourd’hui « bloquées » en Irlande par « engorgement » des services du Data Protection Commissioner

Si vous voulez savoir comment s’écrit une décision du EDPB qui tranche un conflit entre autorités de contrôle, allez lire celle (en anglais) du 9 novembre 2020 (et bon courage). 

Bref… Et que nous dit-il cet article 82 loi « Informatique et Libertés » ?

Le principe est pourtant simple :

jurisprudence CNIL cookie traceur e-privacy RGPD ©Ledieu-Avocats 14-12-2020.023

Et, tant qu’on y est, il dit quoi, ce fameux article 5.3 de la Directive 2002/58 ?

Le constat du non-respect par Google, Amazon, Carrefour France et Carrefour Banque de l’article 82 était donc facile pour la CNIL.

Et l’équation conduisant à la condamnation de ces quatre entreprises était alors simple :

  • constat de l’injection de cookies traceurs à des fins publicitaire
  • constat de l’absence de toute demande de consentement préalable
  • condamnation (CQFD). 

jurisprudence CNIL cookie traceur : le fondement des condamnations ? PAS LE RGPD !

Non, le fondement juridique des condamnations n’est pas le RGPD mais la loi « Informatique et Libertés » version 2020 : c’est par l’article 20 III 7° que la CNIL sanctionne le non-respect de l’article 82 (de la même loi « Informatique et Libertés »).

Et le risque ?

C’est 10.000.000 d’euros d’amende ou 2% du chiffre d’affaires. 

Comme à l’article 83.4 RGPD. Tout pareil.

sanction COOKIES TRACEURS e-privacy RGPD ©Ledieu-Avocats 15-12-2020

jurisprudence CNIL cookie traceur : l'importance de l'appréciation économique de chaque secteur concerné

Il est intéressant de constater dans cette jurisprudence CNIL cookie traceur de 2020 que l’importance des parts de marché respectives et le chiffre d’affaires des personnes morales condamnées sont systématiquement évoqués et détaillés par la CNIL.

Laquelle CNIL prend parfois soin de préciser « l’avantage » économique tiré du non-respect de la règlementation :

« en raison de la portée du moteur de recherche Google Search en France ces pratiques ont affecté près de cinquante millions d’utilisateurs résidant en France et que les sociétés en ont tiré des bénéfices considérables à travers les revenus publicitaires indirectement générés par les données collectées par ces cookies » (délibération n°SAN 2020-012).

Pas de longs commentaires de ma part mais une citation de quelques points de chacune des décisions sur l’aspect « cookie traceur ».

jurisprudence CNIL cookie traceur e-privacy RGPD ©Ledieu-Avocats 14-12-2020.090

jurisprudence CNIL cookie traceur : délibération SAN 2020-008 "Carrefour France"

(délibération n° SAN 2020-008) « le groupe Carrefour est notamment constitué de la société mère Carrefour SA, qui détient la société Carrefour France à 99,61%. Cette dernière détient la société Carrefour Hypermarchés à 82% et la société Carrefour Proximité France à 99%. En 2019, Carrefour Hypermarchés a réalisé un chiffre d’affaires de 14,3 milliards d’euros et Carrefour Proximité France a réalisé un chiffre d’affaires de 636 millions d’euros« …

« Carrefour France appartient pourtant à un groupe dont l’activité économique est d’un ordre de grandeur totalement différent, présentant un chiffre d’affaires d’environ 80 milliards d’euros (environ 40 milliards d’euros en France) pour un résultat net ajusté, part du groupe, bénéficiaire d’environ 900 millions d’euros en 2019. Certaines filiales de … Carrefour France réalisent un chiffre d’affaires particulièrement important. À titre d’exemple, … Carrefour Hypermarchés (détenue à 81,73% par … Carrefour France) a réalisé, en 2019, un chiffre d’affaires de 14,3 milliards d’euros et … Carrefour Proximité France (détenue à 99% par … Carrefour France) a réalisé en 2019 un chiffre d’affaires de 636 millions d’euros« …

« Le nombre de personnes concernées… est particulièrement aggravant … plusieurs millions de personnes, pour l’information, puisque chaque personne ayant adhéré au programme fidélité ou ayant créé un compte sur le site carrefour.fr a été concernée, et pour le manquement relatif aux cookies, puisque des cookies ont été déposés sans consentement sur le terminal des 1,7 millions de visiteurs unique du site« …

jurisprudence CNIL cookie traceur : délibération SAN "Carrefour Banque"

(délibération n° SAN 2020-009 du 18 novembre 2020) « la société Carrefour Banque … est un établissement bancaire ayant pour activités principales le crédit à la consommation, la gestion de portefeuilles, le courtage en assurance ainsi que les services d’investissement. En 2018, elle employait environ 300 salariés et avait réalisé un produit net bancaire de 308 millions d’euros« …

« en 2018 la société a réalisé un produit net bancaire de 308 millions d’euros et qu’en application des dispositions de l’article 83, paragraphe 5, elle encourt une sanction financière d’un montant maximum de 20 millions d’euros« …

jurisprudence CNIL cookie traceur : délibération SAN 2020-012 "Google"

(délibération n° SAN 2020-012 du 7 décembre 2020) « En 2019, la société Alphabet Inc. a réalisé un chiffre d’affaires de plus de 161 milliards de dollars, tandis que la société Google LLC a réalisé un chiffre d’affaires de plus de 160 milliards de dollars ‘. […] La société Google Ireland Ltd… se présente comme étant le siège du groupe Google pour ses activités dans l’Espace économique européen… Etablie à Dublin (Irlande), elle emploie environ 9 000 personnes. En 2018, elle a réalisé un chiffre d’affaires de plus de 38 milliards d’euros. La société Google France SARL est l’établissement français du groupe Google. Filiale détenue à 100 % par la société Google LLC, son siège social est situé à Paris (France). En 2018, elle employait environ 1 400 salariés et avait réalisé un chiffre d’affaires de plus de 400 millions d’euros. »…

« l’Autorité de la concurrence ayant relevé que [le moteur de recherche Google Search] dominait le marché de la recherche en ligne avec une part de marché supérieure à 90% (ADLC, 19 déc. 2019, déc. n° 19-D-26, pt. 313). Elle souligne [qu’il] comptabilisant au moins 47 millions d’utilisateurs en France, ce qui correspond à 70% de la population française, le nombre de personnes concernées par le traitement est extrêmement important« …

jurisprudence CNIL cookie traceur : délibération SAN 2020-013 "Amazon"

(délibération n° SAN 2020-013 du 7 décembre 2020) « La société Amazon Europe Core… est une société de droit luxembourgeois… faisant partie du groupe Amazon. Elle a pour principale activité l’exploitation des sites web européens Amazon qui permettent la vente en ligne de biens marchands. Pour les besoins de ses activités notamment en France, la société exploite le site web Amazon.fr… Pour l’année 2019, elle a réalisé un chiffre d’affaires d’environ 7,7 milliards d’euros. » … environ 300 millions d’identifiants Amazon ont été attribués en France sur une période de neuf mois… même si une seule personne est susceptible de correspondre à plusieurs identifiants différents en raison de l’utilisation de multiples terminaux et navigateurs, ce volume reflète la place centrale occupée par le site Amazon.fr dans le quotidien des personnes résidents en France. » … « [Amazon] a réalisé pour l’année 2019 un chiffre d’affaires mondial d’environ 7,7 milliards d’euros, a tiré du manquement commis un avantage financier certain« .

jurisprudence CNIL cookie traceur : se mettre en conformité pendant la procédure de contrôle ne fait pas tout...

Lorsqu’une entreprise se fait contrôler et que des manquements flagrants sont constatés par la CNIL, il est de bonne politique pour la personne controlée de se mettre en règle…

La CNIL le relève systématiquement pour ces 4 entreprises toutes controlées en 2019.

Mais il faut retenir de la jurisprudence CNIL cookie traceur que cette mise en conformité n’est pas une circonstance atténuante du montant final de la condamnation, pas plus que la « bonne coopération » avec l’autorité de contrôle (la CNIL rappelle d’ailleurs qu’il s’agit là d’une obligation légale !!!).

Une autorité de contrôle n’est pas là pour distribuer des bons points. Une autorité de contrôle sert… à contrôler… qu’au moment de son contrôle, la loi est respectée.

Il fallait être naïf (ou à court d’arguments…) pour plaider la bonne foi vu le caractère flagrant des manquements relevés par la CNIL, et je n’évoque ici que les aspects cookie traceur.

Autre argument de la défense (en synthèse) : la loi n’était pas claire

Certes, le parcours législatif français de la règlementation « cookies traceur » est un peu agité depuis 2002 :

jurisprudence CNIL cookie traceur : quelques arguments de la défense...

Alors, la loi n’était pas très claire au moment du contrôle ?

Plutôt qu’un commentaire, je préfère citer la CNIL (délibération n°SAN 2020-012 du 7 décembre 2020)

« 115. … [le] manquement reproché aux sociétés [a] pour seul fondement juridique … l’article 82 de la loi informatique et libertés qui [a] transposé … la directive ePrivacy . … si ces prescriptions étaient autrefois prévues à l’article 32, paragraphe II, de cette même loi, avant que le texte ne soit refondu dans son ensemble par l’ordonnance n°2018-1125 du 12 décembre 2018, leur contenu est demeuré inchangé depuis 2011.

116. [la CNIL] a déjà adopté plusieurs décisions de sanction, concernant parfois des pratiques identiques, dont certaines ont d’ailleurs été rendues publiques (voir, en ce sens, délibération n°SAN-2016-204 du 7 juillet 2016 et délibération n°SAN-2017-006 du 27 avril 2017).

117. … enfin, que bien que les communications de la CNIL relatives aux cookies et traceurs aient connu dernièrement certaines évolutions, les pratiques à l’origine … du manquement reproché … ont été continuellement considérées comme non conformes par la CNIL, que cela soit par la première recommandation du 5 décembre 2013 ou par les lignes directrices du 4 juillet 2019, en vigueur à la date des constatations faites par … la CNIL« .

CNIL cookie traceur : quoi faire aujourd'hui ?

Si, concrètement, vous devez aujourd’hui mettre votre entreprise (ou votre client) en conformité avec l’article 82 loi Informatique et Liberté, il va falloir aller lire autre chose que la jurisprudence de la CNIL.

Suite à l’arrêt du Conseil d’Etat à propos de la délibération « cookie traceur » du 4 juillet 2019, la CNIL a pris le soin de ré-écrire sa doctrine officielle.

Les textes en vigueur sont aujourd’hui la délibération 2020-091 « ligne directrice » du 17 septembre 2020 complétée par la délibération 2020-092 « recommandations ».

Nous y reviendrons bientôt avec une étude détaillée (en BD bien sûr).

Que l’industrie de la publicité ciblée en ligne entende bien : la CNIL a fait de son contrôle un « axe prioritaire pour 2021 » (ma source – très bien informée – souhaite rester anonyme…).

Pour les illustrations en BD, on dit MERCI aux éditions Delcourt / Soleil !!!

Derniers articles