Dans notre article La conformité des cookies & autres traceurs, nous vous rappelions les règles applicables en matière de cookies et faisions état d’une sanction de 35 millions d’euros prononcée par la CNIL à cet égard.
En effet, le 7 décembre 2020, la CNIL prononçait une amende d’un montant de 35 M€ à l’encontre de la société Amazon Europe Core, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du site de vente « Amazon.fr » sans consentement préalable ni information satisfaisante. Le Conseil d’État a validé cette sanction, le 27 juin 2022.
Pour mémoire, l’article 82 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi informatique et liberté » qui transpose en droit français la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »), dispose :
- « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
- 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
- 2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : - 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »
Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, les exigences en matière de consentement ont été renforcées, ce texte définissant le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. ».
Ainsi, le Conseil d’État confirme les deux violations à l’article 82 de la loi « Informatique et Libertés » sanctionnées par la CNIL : le dépôt de cookies sans consentement préalable et l’information défaillante des utilisateurs.
En outre, le Conseil d’Etat estime que le montant de l’amende prononcé par la CNIL (35 millions d’euros !) n’est pas disproportionné au regard de la gravité des manquements, de la portée des traitements et de la capacité financière de la société.
Dès lors, le cabinet LEGALPROTECH-AVOCATS ne saurait que trop vous inviter à vérifier que votre site internet, dispose bien d’un bandeau cookies lequel doit respecter le caractère préalable du consentement au dépôt de traceurs, laisser la possibilité d’accéder au service même en cas de refus de consentir (le désormais bien connu « Continuer sans accepter »), et fournir un dispositif de retrait du consentement facile d’accès et d’usage.