La CNIL sanctionne Google et Shein de 250M€ pour la gestion des cookies

Dans un contexte de renforcement de la protection des données personnelles, la Commission Nationale de l’Informatique et des Libertés (CNIL) a de nouveau démontré sa fermeté en prononçant, le 29 décembre 2022, de lourdes sanctions financières à l’encontre de géants du numérique : GOOGLE LLC, GOOGLE IRELAND LIMITED et la plateforme de mode SHEIN. Ces décisions s’inscrivent dans la continuité du plan d’action initié en 2019 par l’autorité française, visant à assurer une meilleure conformité des acteurs du web avec la législation relative aux cookies et autres traceurs. Les manquements constatés concernent principalement la complexité du mécanisme de refus des cookies, rendue délibérément plus ardue que leur acceptation, une pratique jugée non conforme aux exigences légales.

Le cadre réglementaire des cookies : le consentement libre et éclairé

La législation européenne, notamment le Règlement Général sur la Protection des Données (RGPD) et la directive e-Privacy, encadre strictement l’utilisation des cookies. Elle exige que les utilisateurs donnent un consentement libre, spécifique, éclairé et univoque avant que des traceurs non essentiels ne soient déposés sur leur terminal. Un principe fondamental est celui de la facilité de choix : refuser les cookies doit être aussi simple que de les accepter. La CNIL veille scrupuleusement au respect de ce principe, considérant que des parcours utilisateurs complexes pour le refus constituent une entrave à la liberté de choix et un détournement des intentions de la loi.

Des pratiques non conformes sur google.fr, youtube.com et shein.com

L’enquête de la CNIL a mis en lumière des pratiques litigieuses sur les sites emblématiques google.fr, youtube.com (pour Google) et shein.com (pour Shein). Dans chacun des cas, il a été constaté que les entreprises avaient mis en place des interfaces de gestion des cookies où le bouton permettant d’accepter tous les traceurs était directement accessible, tandis que le refus nécessitait plusieurs clics ou une navigation dans des menus secondaires. Cette asymétrie dans la facilité d’accès aux options de consentement a été interprétée par la CNIL comme une incitation à l’acceptation et un obstacle au refus, en violation des principes de la protection des données.

Des amendes records pour des manquements persistants

En conséquence de ces manquements graves, la CNIL a prononcé des amendes d’une ampleur significative :

• Une sanction de 150 millions d’euros à l’encontre de GOOGLE LLC et GOOGLE IRELAND LIMITED. Cette amende est répartie entre les deux entités : 60 millions d’euros pour Google Ireland Limited et 90 millions d’euros pour Google LLC.
• Une amende de 100 millions d’euros à l’encontre de SHEIN.

Ces montants, parmi les plus élevés jamais imposés par la CNIL, soulignent la détermination de l’autorité à faire respecter les droits des internautes et à sanctionner les acteurs qui ne se conforment pas pleinement à la réglementation. Ces décisions rappellent aux entreprises que la transparence et la facilité de choix en matière de cookies ne sont pas de simples recommandations, mais des obligations légales dont le non-respect peut entraîner de lourdes conséquences financières et réputationnelles.