La CNIL est sortie de ses gonds. Dans un communiqué publié ce jour, la commission nationale de l'informatique et des libertés a annoncé avoir constaté des infractions relatives à l'application de la législation en matière de cookies. L'institution reproche ainsi à une vingtaine d'organisations de ne pas permettre aux internautes de refuser aussi facilement les cookies que de les accepter. Aucun nom n'a été précisé mais parmi les sociétés sous le coup de cette action, on trouve des géants du numérique ainsi que plusieurs organismes publics.

« Ces décisions s’inscrivent dans le cadre de la stratégie globale de mise en conformité initiée par la Cnil depuis 2 ans et qui s’est concrétisée, le 1er octobre 2020, par l’adoption des lignes directrices et d’une recommandation », précise la Cnil. « Il s’agit de la première campagne de vérifications et de mesures correctrices depuis l’expiration du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies ». 

Une amende pouvant atteindre 2% du chiffre d'affaires

La gestion des cookies (strictement nécessaires, personnalisation publicitaire...) n'a rien d'une mince affaire. Depuis l'entrée en vigueur du réglement général sur la protection des données personnelles, les éditeurs doivent faire apparaitre sur leurs sites un bandeau permettant à l'utilisateur de les accepter ou de les rejeter. Encore trop souvent, les bandeaux mettent en avant - par le biais de la police, du gras ou de la couleur - le bouton « Accepter » tandis que la mention pour pour les refuser est encore trop souvent négligée ou noyée dans un flot d'informations et de cases à (dé)cocher. Et au cas où le refus des cookies est validé, la réapparition - dans certains cas à chaque navigation - du fameux bandeau de sélection des cookies vire au cauchemar. « Dans la logique du RGPD il faut qu'une personne soit maitre de ses traces qu'elle laisse mais si elle veut tout prendre en main on rentre dans un univers complexe », confirme Paul-Olivier Gibert, président de l'Afcdp. 

Les entreprises ou organisations publiques visées ont intérêt à se mettre en conformité avec la législation sur les cookies. Le cas échéant, elles encourent des amendes pouvant atteindre jusqu'à 2% de leur chiffre d'affaires. Le cas échéant, elles encourent des amendes pouvant atteindre jusqu'à 2% de leur chiffre d'affaires. Pour éviter la sanction financière, la mise aux normes Cnil est indispensable. Et ces organismes doivent faire vite, puisqu'elles ont un mois à compter de ce jour pour faciliter le refus des cookies. Cette décision ne restera pas un coup d'éclat unique pour la commission qui compte au contraire mener dans les prochains mois « des actions similaires ».

La Cnil a tenu parole

« Pour rappel, en décembre 2020, la formation restreinte de la Cnil a infligé aux sociétés Google et Amazon des amendes de 100 millions d’euros et 35 millions d’euros pour leurs pratiques en matière de cookies », rappelle la commission précisant qu'elle n'avait alors pas examiné à l'époque la conformité des bandeaux d’information aux nouvelles règles en matière de cookies. « Lors de l’instruction des injonctions prises par la formation restreinte, il a notamment été rappelé à ces sociétés la nécessité de rendre aussi facile le refus de cookies que leur acceptation, ce dont la Cnil s’assurera ». Chose promise chose due en quelque sorte...Contactée par la rédaction pour des précisions complémentaires, la Cnil n'est pour l'heure pas revenue vers nous.  

MAJ du 25 mai 2021 à 18h17. Suite à notre demande d'informations complémentaires, la Cnil nous a indiqué : « Comme il s’agit de mises en demeure non publique, il n’est pas possible de donner ce type de renseignement ». Sur la question de l'identité des organismes visés, on apprend que trois d'entre eux sont de type administration centrale et établissement public.