Les deux sociétés sont accusées de ne pas respecter la loi en ne permettant pas aux internautes français de refuser les cookies aussi facilement que de les accepter.
Lorsqu’il s’agit des géants du numérique, la Commission nationale de l’informatique et des libertés (CNIL) n’hésite pas à rendre ses décisions publiques. Ce 6 janvier, elle a révélé qu’elle avait infligé une amende de 150 millions d’euros à Google et une de 60 millions d’euros à Facebook pour leur gestion des cookies, jugée non conforme à la loi. Depuis le 1er avril 2021, les acteurs français et étrangers doivent en effet respecter de nouvelles règles concernant ces petits fichiers d’informations enregistrés sur l’appareil d’un utilisateur lorsqu’il se rend sur un site web. Ils sont notamment tenus de rendre leur refus aussi simple que leur acceptation, ce qui n’est pas le cas ni chez Google ni chez Facebook.
Après avoir mené son enquête, la CNIL a remarqué que les sites facebook.com, google.fr et youtube.com proposent un bouton pour accepter immédiatement les cookies, sans une solution équivalente pour le refus. « Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter », indique le gendarme des données personnelles. Les internautes français sont alors incités à privilégier la facilité du bouton « j’accepte ».
Des amendes assorties d’une astreinte
Dans le détail, l’amende infligée à Google est partagée entre deux sociétés : 90 millions d’euros pour la firme de Moutain View, responsable du moteur de recherche et de YouTube, et 60 millions d’euros pour Google Ireland Limited, le siège européen du groupe. Elles sont toutes les deux considérées comme responsables par la CNIL car elles déterminent « les finalités et les moyens liés à l’usage des cookies ». Dans le cas de Facebook, l’amende est aussi adressée au siège européen Facebook Ireland Limited. À la difficulté du refus des cookies, s’ajoute par ailleurs un manque de clarté informationnelle de la part de la société étant donné que les internautes doivent cliquer sur un bouton appelé « Accepter les cookies » dans une seconde fenêtre pour les refuser. La commission estime que cet intitulé génère de la confusion tout en donnant à l’utilisateur le sentiment qu’il est impossible de refuser le dépôt de cookies.
Google et Facebook disposent désormais de trois mois pour se mettre en conformité, en fournissant aux internautes situés en France un moyen de refuser les cookies aussi simplement que celui existant pour les accepter. Une astreinte de 100 000 euros par jour de retard sera à payer si le délai n’est pas respecté par les deux firmes. Meta, la maison-mère de Facebook a indiqué qu’elle évaluait la décision de la CNIL et qu’elle continuait à développer et améliorer les outils de contrôle des internautes sur les cookies. De son côté, Google s’est engagé à mettre en place de nouveaux changements et à travailler activement avec l’autorité française à la suite de sa décision.
Ce n’est d’ailleurs pas la première fois que la firme de Mountain View se voit infliger une amende par rapport à sa gestion des cookies. Elle a déjà été condamnée à une amende de 100 millions d’euros en décembre 2020, notamment pour le dépôt automatique de cookies sur l’ordinateur d’un utilisateur du moteur de recherche, soit sans recueillir préalablement son consentement. Le géant américain avait alors saisi le Conseil d’État pour contester la sanction, mais son recours a été rejeté en mars 2021.