Respect des droits des personnes, sécurité des données et cookies : Facebook, Google et Free Mobile sanctionnés par la CNIL pour manquement à ces obligations
Corinne Thiérache et Alice Marie
Poursuivant sa stratégie de mise en conformité des acteurs avec la réglementation en matière de données à caractère personnel et les règles sur l’utilisation des cookies, la Commission nationale de l’Informatique et des Libertés (CNIL) a récemment condamné les sociétés Free Mobile, Google et Facebook au paiement de lourdes amendes.
Ainsi, le 28 décembre 2021, la formation restreinte de la CNIL a condamné la société Free Mobile au paiement d’une amende de 300 000 euros après avoir relevé les quatre manquements suivants aux dispositions du Règlement Général sur la Protection des Données (RGPD) :
• Manquement à l’obligation de respecter le droit d’opposition des personnes concernées, puisque la société n’a pas pris en compte les demandes visant à l’arrêt des messages de prospection commerciale ;
• Manquement à l’obligation de respecter le droit d’accès des personnes, puisque la société n’a pas donné suite aux demandes d’accès dans les délais requis ;
• Manquement à la protection des données dès la conception, puisque la société a continué d’envoyer des factures concernant des lignes dont l’abonnement était pourtant résilié ;
• Manquement à l’obligation de sécurité des données à caractère personnel, puisque la société transmettait les mots de passe des utilisateurs lors de leur souscription sans protection.
Trois jours plus tard, le 31 décembre 2021, la formation restreinte de la CNIL a sanctionné les sociétés Google LLC et Google Ireland Limited de deux amendes d’un montant total inédit de 150 millions d’euros, et a prononcé une amende 60 millions d’euros à l’encontre de Facebook Ireland Limited., sous astreinte de 100 000 euros par jour de retard.
En effet, la CNIL a constaté que les sites web facebook.com, google.fr et youtube.com proposaient un bouton permettant d’accepter immédiatement les cookies, sans proposer de solution équivalente pour permettre à l’internaute de refuser ces derniers aussi facilement. Elle a ainsi considéré que ces agissements portaient atteinte à la liberté du consentement des internautes et violaient les dispositions de la Loi Informatique et Libertés.
Les sociétés Google LLC et Google Ireland Limited ont déjà fait l’objet d’une condamnation le 7 décembre 2020 représentant un total de 100 millions d’euros pour non-respect de l’obligation d’information préalable et satisfaisante concernant les cookies. Outre un recours en référé sollicitant la suspension de l’injonction finalement clôturée par la CNIL le 30 avril 2021, les sociétés Google LLC et Google Ireland Limited ont également formé un recours de plein contentieux devant le Conseil d’Etat à l’encontre de la délibération. Bien que cette sanction prononcée en décembre 2020 ne soit toujours pas définitive, la formation restreinte de la CNIL justifie en partie le montant particulièrement élevé des nouvelles sanctions prononcées à l’égard des sociétés Google LLC et Google Ireland Limited par le fait que la CNIL avait déjà attiré l’attention de ces deux sociétés sur les modalités de refus des cookies, en sus du nombre « extrêmement important à l’échelle de la population française » des personnes concernées par les traitements en cause.
Ces condamnations, dont le quantum est évalué librement par la CNIL en l’absence de lignes directrices sur le calcul des amendes, font donc peser sur les acteurs un risque financier imprévisible ne pouvant toutefois excéder 10 millions d’euros / 20 millions d’euros ou 2 % / 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, en fonction de la nature du manquement.
Il apparaît donc essentiel pour les acteurs, quelle que soit leur taille, de se mettre en conformité avec la réglementation.
Corinne Thiérache, Associée, et Alice Marie, Avocat des Départements Protection des données personnelles, Droit des technologies et du numérique.
Avec le concours de Charlotte Guevelou, Elève-avocat.