Cookies et données personnelles : Facebook et Google sanctionnés
La Commission nationale de l’informatique et des libertés (Cnil) vient de sanctionner Google et Facebook à hauteur de 150 millions et de 60 millions d’euros respectivement. L’instance leur reproche de ne pas permettre aux internautes de refuser les cookies aussi simplement qu’ils doivent les accepter avant d’accéder aux sites Google.fr, Youtube.com (filiale de Google) et Facebook.com.
Fin de la récréation dans la cour des géants Facebook et Google. Plus de 9 mois après l’échéance qui leur permettait de se conformer aux nouvelles règles françaises en matière de cookies, les deux groupes ne peuvent plus prétendre les ignorer. La Commission nationale de l’informatique et des libertés (Cnil) les sanctionne donc pour non-respect de la loi (1). 150 millions d’euros pour Google, 60 millions pour Facebook. En cause, leur manière d’obtenir l’accord de l’internaute pour déposer des cookies sur son ordinateur lorsqu’il visite les sites Google.fr, Youtube.com (filiale de Google) et Facebook.com.
Ce « recueil du consentement » est strictement encadré (2). L’internaute doit en effet être clairement informé du dépôt des cookies et du rôle de chaque type de cookie (fonctionnement du site, suivi publicitaire, etc.). Google et Youtube n’y vont pas de main morte pour informer, la densité du texte est même de nature à décourager toute bonne volonté de lecture. Facebook, plus synthétique, renvoie vers une politique de confidentialité les internautes les plus motivés. Tous les trois respectent en tout cas, sur ce point, les lignes directrices de la Cnil. En revanche, aucun ne respecte l’autre règle qui consiste à rendre le refus des cookies aussi simple que l’acceptation des cookies. « Dès lors que, sur Internet, l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’on peut les accepter biaise son choix en faveur du consentement », explique la Cnil. De fait, l’internaute a plus vite fait de cliquer sur le bouton « Tout accepter » que sur le bouton « Personnaliser les données » ou « Gérer ses paramètres », qui donne accès à d’interminables options à sélectionner manuellement. Les deux géants ont 3 mois pour proposer un bouton « Tout refuser » aussi visible que le bouton « Tout accepter ». Au-delà, ils devront payer une astreinte de 100 000 € par jour de retard.
Lire aussi
(1) Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.
(2) Article 82 de la loi Informatique et libertés.