Le mois a été chaud pour la protection de la vie privée en France. La Commission nationale de l'informatique et des libertés (CNIL) a infligé des amendes à trois grandes entreprises technologiques (Apple, TikTok et Microsoft). Toutes les décisions sont intéressantes, et l'une d'entre elles est assortie d'une forte amende.
- La directive "vie privée et communications électroniques
- Apple condamné à une amende de 8 millions d'euros pour traçage illégal
- TikTok condamné à une amende de 5 millions d'euros pour un problème de cookies
- Microsoft condamné à une amende de 60 millions d'euros pour les cookies de Bing
- Quelques considérations
- Réflexions finales
La directive "vie privée et communications électroniques
Toutes les affaires tournent autour de l'article 5 de la directive "vie privée et communications électroniques" de l'UE. Nous parlons beaucoup du GDPR dans nos blogs, mais la directive "vie privée et communications électroniques" est également très importante en matière de protection de la vie privée.
Le GDPR est connu comme la "loi sur les cookies", mais la directive est la véritable loi sur les cookies. L'article 5 exige le consentement pour lire et écrire toute information stockée sur l'équipement terminal de l'utilisateur. La règle couvre les cookies, mais s'applique également à d'autres technologies telles que les identifiants publicitaires (comme dans le cas d'Apple).
La directive prévoit deux exceptions. Le consentement n'est pas requis pour les informations nécessaires au traitement :
- pour rendre la communication possible (par exemple, les compagnies de téléphone ont besoin de traiter les numéros de téléphone)
- pour fournir un service demandé par l'utilisateur. Cette exemption inclut les cookies dits essentiels utilisés par les sites web, tels que les cookies qui stockent les préférences de l'utilisateur ou qui suivent les articles d'un panier d'achat.
Les cookies nécessaires au marketing et à l'analyse du web ne sont pas des cookies essentiels et ne peuvent être traités qu'après avoir obtenu le consentement de l'utilisateur. C'est la raison pour laquelle vous voyez tant de bannières de cookies gênantes lorsque vous naviguez sur Internet.
Dans l'ensemble, il s'agit d'un régime plus strict que le GDPR, car ce dernier autorise le traitement de données à caractère personnel sur des bases autres que le consentement, telles que l'intérêt légitime ou l'exécution d'un contrat (nous avons écrit plus de détails sur les bases légales ici).
Une autre différence importante est que la directive n'est pas directement applicable. Les autorités de protection des données (APD) de chaque État membre n'appliquent donc pas directement la directive, mais plutôt les lois nationales qui la mettent en œuvre (dans le cas de la CNIL, il s'agit de la loi française sur la protection des données).
Apple condamné à une amende de 8 millions d'euros pour traçage illégal
La première affaire concerne les identifiants publicitaires. iOS 14.6 utilise les identifiants publicitaires pour suivre l'activité des utilisateurs et personnaliser les publicités sur l'App Store. Le système d'exploitation ne demande pas le consentement de l'utilisateur, mais il propose une option de refus dans les paramètres de confidentialité. La CNIL a considéré qu'il s'agissait d'une violation de la directive "vie privée et communications électroniques" et a condamné Apple à une amende de 8 millions d'euros. Selon Politico, Apple a l'intention de contester cette décision.
Cette décision n'est pas nouvelle. Le GDPR exige que le consentement soit donné par une action affirmative claire, et la Cour de justice de l'UE a déjà précisé que les systèmes d'opt-out ne peuvent jamais recueillir un consentement valide, de sorte que les règles sont aussi claires que possible. Pourtant, les entreprises continuent d'utiliser des systèmes d'opt-out (même les multinationales dotées de services juridiques bien financés).
Deux autres points méritent d'être soulignés. Tout d'abord, l'affaire portait spécifiquement sur iOS 14.6, et la DPA n'a pas enquêté sur le suivi dans d'autres versions. Deuxièmement, Apple a modifié ses paramètres de confidentialité à partir d'iOS 15 et a mis en place un système d'opt-in pour l'option de confidentialité spécifique impliquée dans l'affaire. Cela ne signifie pas nécessairement qu'Apple ne traque plus les utilisateurs sans leur consentement. En fait, la société fait l'objet d'une action en justice en Californie pour traçage non autorisé.
TikTok condamné à une amende de 5 millions d'euros pour un problème de cookies
Dans le second cas, la CNIL a enquêté sur les cookies du site web de TikTok. Ce qu'elle a trouvé n'est pas terrible.
Tout d'abord, le site web utilisait trois cookies sans tenir compte du choix de l'utilisateur de les accepter ou de les rejeter. Deux d'entre eux étaient des cookies essentiels au sens de la directive "vie privée et communications électroniques", mais le troisième était un cookie de marketing. Ce n'est pas possible.
Deuxièmement, la bannière de cookies donnait à l'utilisateur le choix d'accepter ou de personnaliser les cookies de la première couche, ce qui l'obligeait à accéder à la deuxième couche et à effectuer des clics supplémentaires pour rejeter les cookies. Il s'agit là d'un exemple classique de conception trompeuse, dont nous avons déjà parlé sur notre blog. En outre, la bannière ne fournissait pas suffisamment d'informations à l'utilisateur. C'est pourquoi la CNIL a estimé que la bannière de cookies n'était pas conforme et que le site web traitait les cookies sans le consentement de l'utilisateur.
Par ailleurs, TikTok a présenté une défense intéressante : "Le refus des cookies est très simple sur notre site web car l'utilisateur peut simplement ignorer la bannière de cookies et continuer à naviguer". Il suffit donc d'un clic pour accepter tous les cookies, et de zéro pour les rejeter - c'est aussi simple que cela ! Inutile de dire que la CNIL n'a pas été dupe.
Microsoft condamné à une amende de 60 millions d'euros pour les cookies de Bing
La troisième affaire concerne les cookies du domaine Bing.com et a valu à Microsoft une **amende de 60 millions d'**euros.
L'autorité a d'abord constaté que la bannière de cookies affichée sur le site web n'était pas conforme au GDPR et aux propres lignes directrices de la CNIL. Comme la bannière de TikTok.com, celle de Bing n'incluait pas d 'option de rejet dans la première couche et obligeait l'utilisateur à effectuer davantage de clics inutiles pour rejeter les cookies.
La CNIL a également constaté que Bing.com plaçait un cookie pour lutter contre la fraude publicitaire sans tenir compte des préférences de l'utilisateur. Microsoft considérait ce cookie comme essentiel, mais la CNIL en a décidé autrement sur la base de ses propres lignes directrices. L'autorité a également constaté qu'un cookie publicitaire avait été placé sans le consentement de l'utilisateur, ce qui, selon Microsoft, était la conséquence d'une erreur humaine.
Quelques considérations
Les décisions prises à l'encontre de TikTok et de Microsoft tombent à point nommé. Un groupe de travail du Conseil européen de la protection des données s'est penché sur la question des bannières publicitaires et a publié son rapport peu de temps après la publication des décisions de la CNIL. La nécessité d'un bouton de rejet dans la première couche des bannières est d'ailleurs l'un des principaux points du rapport.
Nous avons traité ce sujet en détail sur notre blog, car nous pensons que ce rapport est un bon indicateur de la manière dont les autorités de protection des données traiteront désormais les affaires de cookies. Nous espérons que les amendes infligées par la CNIL à TikTok et à Microsoft pour leurs bannières trompeuses serviront d'exemple aux autres autorités de protection des données.
La compétence est un autre aspect important de ces trois décisions. La CNIL ne dit rien de nouveau à cet égard, mais la question mérite d'être examinée.
Apple, TikTok et Microsoft ont tous trois leurs filiales européennes en République d'Irlande, et tous trois ont affirmé que le DPC (l'autorité irlandaise de protection des données) était compétent pour statuer sur leur cas en vertu du GDPR. Mais les affaires portaient sur des violations de la vie privée et la directive "vie privée et communications électroniques" suit des règles de compétence différentes de celles du GDPR. C'est pourquoi la CNIL s'est déclarée compétente pour imposer des amendes.
La compétence peut sembler un détail technique, mais c'est une question importante d'un point de vue pratique. Certaines autorités de protection des données sont plus strictes que d'autres, et la CNIL est beaucoup plus stricte que la DPC. Si les affaires avaient été jugées en Irlande, l'issue aurait pu être différente et plus favorable aux entreprises.
Réflexions finales
Il est encore trop tôt pour le dire, mais il se pourrait que nous assistions enfin à une répression des bannières de cookies trompeuses. Chez Simple Analytics, nous n'avons jamais été partisans de l'utilisation des cookies, et encore moins de ces bannières de cookies agaçantes et souvent trompeuses. La raison en est que les propriétaires de sites web peuvent obtenir les informations dont ils ont besoin pour améliorer les performances de leur site sans avoir recours aux cookies.
Nous sommes une alternative à Google Analytics sans cookie qui est 100% conforme au GDPR et qui ne nécessite pas de cookiebanner. Curieux de voir à quoi cela ressemble ? N'hésitez pas à nous essayer !