Cnil

  • (MĂ J) Cookies : la Cnil condamne Google et Amazon pour l’exemple

    Les sites français des deux gĂ©ants dĂ©posaient des cookies sur les ordinateurs de leurs visiteurs avant d’obtenir leur consentement, et Ă©chouaient Ă  les informer correctement des finalitĂ©s de ces trackers. La Cnil a condamnĂ© Google et Amazon Ă  respectivement 100 millions et 35 millions d’euros d’amende. 

    Les nouvelles rĂšgles relatives aux cookies ont Ă©tĂ© publiĂ©es le 20 octobre et la Cnil a laissĂ© six mois aux Ă©diteurs pour se mettre en conformitĂ©. NĂ©anmoins le rĂ©gulateur avait insistĂ© sur la poursuite de ses contrĂŽles quant aux autres obligations relatives aux traceurs publicitaires. Dont acte : Google et Amazon ont reçu la visite du gendarme des donnĂ©es personnelles, qui les Ă©pinglent au passage. 

    En effet, la Cnil a constatĂ© suite Ă  des contrĂŽles que les sites google.fr et amazon.fr dĂ©posaient sur les ordinateurs de leurs visiteurs des cookies sans que ceux-ci aient au prĂ©alable donnĂ© leur consentement. Le rĂ©gulateur considĂšre que le dĂ©pĂŽt de cookies, avant toute action de l’internaute autre qu’arriver sur le site, est “incompatible avec un consentement prĂ©alable”. 

    Non-respect des rĂšgles

    En outre, ni Amazon ni Google n’informaient correctement le visiteur dans leurs bandeaux, que ce soit sur la finalitĂ© des cookies ou sur les mĂ©thodes pour s’opposer Ă  leur dĂ©pĂŽt. Dans le cas d’amazon.fr, jusqu’à la refonte du site en septembre, le gĂ©ant dĂ©posait des cookies “quel que soit le chemin empruntĂ© par l’internaute se rendant sur le site” sans que celui-ci soit clairement informĂ©, voire informĂ©. Ce qui contrevient au nouvel article 82 de la loi Informatique et LibertĂ©s, et aux lignes directrices de la Cnil quant Ă  l’utilisation de cookies. 

    En ce qui concerne Google, la Cnil ajoute une infraction supplĂ©mentaire, Ă  savoir la dĂ©faillance du mĂ©canisme d’opposition de l’internaute au dĂ©pĂŽt de cookies, puisque quand bien mĂȘme l’utilisateur dĂ©sactivait la personnalisation des annonces “en recourant au mĂ©canisme mis Ă  sa disposition Ă  partir du bouton « Consulter maintenant »”, un des traceurs restait stockĂ© sur son ordinateur et continuait d’envoyer des informations au serveur. 

    En consĂ©quence de quoi la Cnil a condamnĂ© Google Ă  100 millions d’euros d’amende, rĂ©partis entre Google LLC et Google Ireland Ltd Ă  60 et 40 millions d’euros. Amazon Ă©cope pour sa part d’une sanction de 35 millions d’euros. 

    Décision de la délibération SAN-2020-012 du 7 décembre 2020

    MĂ J 11/12 : Google a rĂ©agi Ă  cette sanction. Selon un porte-parole : â€œles utilisateurs de Google s'attendent Ă  ce que nous respections leur vie privĂ©e, qu'ils aient ou non un compte Google. Nous dĂ©fendons notre bilan en matiĂšre de transparence et de protection de nos utilisateurs, grĂące Ă  des informations et des paramĂštres de confidentialitĂ© clairs, une solide gouvernance interne des donnĂ©es, une infrastructure sĂ©curisĂ©e, et, surtout, des services utiles. La dĂ©cision rendue par la CNIL en matiĂšre de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les rĂšgles et les orientations rĂ©glementaires françaises sont incertaines et en constante Ă©volution. Nous poursuivrons nos Ă©changes avec la CNIL pour mieux comprendre ses prĂ©occupations Ă  mesure que nous continuons d'apporter des amĂ©liorations sur nos produits et services.”

  • Brico PrivĂ© Ă  l'amende par la CNIL

    Habituellement la CNIL reste assez discrĂšte sur les amendes quelle inflige pour non respect du RGPD ou d'autres atteintes aux donnĂ©es privĂ©es. Elle a choisi de rendre publique celle qui punit Brico PrivĂ© de 500K€.

    AprĂšs 3 contrĂŽles, la CNIL a constatĂ© plusieurs manquements concernant le traitement de donnĂ©es personnelles des prospects et des clients de Brico PrivĂ©. La formation restreinte, organe de la CNIL chargĂ© de prononcer les sanctions, a effectivement considĂ©rĂ© que la sociĂ©tĂ© avait manquĂ© Ă  plusieurs obligations prĂ©vues par le Code des postes et des communications Ă©lectroniques (CPCE), le RGPD et la loi Informatique et LibertĂ©s. L'enquĂȘte s'est rĂ©alisĂ©e en coopĂ©ration avec les homologues de la CNIL dans d'autres pays europĂ©ens, Brico PrivĂ© opĂ©rant aussi en Espagne, en Italie et au Portugal.

    Au final, la CNIL a prononcé une amende de 500 000 euros et a dĂ©cidĂ© de rendre publique sa dĂ©cision. Elle a Ă©galement enjoint Ă  la sociĂ©tĂ© de mettre ses traitements en conformitĂ© avec l’article L.34-5 du CPCE et l’article 5.1.e du RGPD et d’en justifier sous un dĂ©lai de 3 mois Ă  compter de la notification de la dĂ©libĂ©ration, sous astreinte de 500 euros par jour de retard. vous trouverez les dĂ©tails de la dĂ©cision ici.

  • Carrefour Ă©pinglĂ© par la Cnil et condamnĂ© Ă  plus de 3 millions d’euros d’amende

    Le gĂ©ant de la grande distribution avait jusqu’à rĂ©cemment des pratiques quelque peu rĂ©prĂ©hensibles quant aux donnĂ©es de ses clients. La Cnil lui inflige une volĂ©e de bois vert, et une sĂ©vĂšre amende, mais reconnaĂźt les efforts faits par Carrefour depuis ses contrĂŽles, l’enseigne s’étant mise en conformitĂ© avec le cadre rĂ©glementaire.  La Cnil vient d’infliger une amende particuliĂšrement salĂ©e au groupe Carrefour. AprĂšs avoir Ă©tĂ© saisie de plusieurs plaintes, le rĂ©gulateur a effectuĂ© plusieurs contrĂŽles auprĂšs du gĂ©ant de la grande distribution et de sa filiale Carrefour Banque. Il y dĂ©couvre de nombreux manquements Ă  la rĂ©glementation en vigueur quant au traitement des donnĂ©es personnelles de ses clients et prospects. La liste des infractions est longue, Ă  commencer par le dĂ©faut d’information des personnes. Carrefour et sa filiale bancaire, sur leurs sites Internet respectifs, ne donnaient pas aisĂ©ment l’accĂšs Ă  leurs politiques quant aux donnĂ©es de leurs utilisateurs, et quand bien mĂȘme l’internaute trouvait les prĂ©cieux documents, ceux-ci n’étaient guĂšre comprĂ©hensibles, la Cnil prĂ©cisant que les informations Ă©taient “rĂ©digĂ©es en des termes gĂ©nĂ©raux et imprĂ©cis, utilisant parfois des formulations inutilement compliquĂ©es”, voire Ă©taient incomplĂštes, notamment en ce qui concerne la durĂ©e de conservation des donnĂ©es ou encore les transferts hors UE.

    Pas trĂšs RGPD

    Et des donnĂ©es, Carrefour en collectait. Le gendarme des donnĂ©es personnelles a ainsi remarquĂ© que, sur ces mĂȘmes sites, plusieurs cookies publicitaires Ă©taient automatiquement dĂ©posĂ©s sur son terminal, avant toute action de l’internaute, sans donc leur consentement. Ces donnĂ©es Ă©taient ensuite conservĂ©es longtemps, trop longtemps aux yeux de la Cnil : “les donnĂ©es de plus de vingt-huit millions de clients inactifs depuis cinq Ă  dix ans Ă©taient ainsi conservĂ©es dans le cadre du programme de fidĂ©litĂ©. Il en Ă©tait de mĂȘme pour 750 000 utilisateurs du site carrefour.fr inactifs depuis cinq Ă  dix ans”. D’autant que la durĂ©e limite, fixĂ©e par l’enseigne Ă  quatre ans aprĂšs le dernier achat, semble excessive selon le rĂ©gulateur. S’ajoutent en outre Ă  la liste des manquements aux droits d’accĂšs, de recours et de suppression. Elle exigeait notamment des plaignants un justificatif d’identitĂ© pour toute demande d’exercice de droit, quand bien mĂȘme le requĂ©rant Ă©tait dĂ©jĂ  identifiĂ©. “Enfin, la sociĂ©tĂ© n’a pas pris en compte plusieurs demandes de personnes s’étant opposĂ©es Ă  recevoir de la publicitĂ© par SMS ou courrier Ă©lectronique, notamment en raison d’erreurs techniques ponctuelles” signale la Cnil.

    Douloureuse

    Dernier point, si Carrefour Banque indiquait Ă  ses clients qu’il partageait leurs nom, prĂ©nom et adresse email, prĂ©cisant bien qu’aucune autre donnĂ©e ne serait transmise au sein du groupe, tel n’était pas le cas, le gendarme des donnĂ©es personnelles dĂ©couvrant lors de ses contrĂŽles que l’adresse postale, le numĂ©ro de tĂ©lĂ©phone et le nombre des enfants de l’utilisateur Ă©taient bel et bien partagĂ©s avec Carrefour. Bilan, 2,25 millions d’euros d’amende pour Carrefour, et 800000 euros supplĂ©mentaires pour Carrefour Banque. Toutefois, la sanction s’arrĂȘte lĂ , le groupe ayant mis les bouchĂ©es doubles depuis les contrĂŽles de la Cnil pour se mettre en conformitĂ© sur l’ensemble de ces points. Ce sur quoi Carrefour axe sa communication, Ă  croire que la dĂ©cision du rĂ©gulateur soit une victoire pour le distributeur qui se fĂ©licite sur Twitter d’avoir rattrapĂ© son “retard en matiĂšre digitale”.
  • Cnil : 600 000 euros d’amende Ă  l’encontre d’Accor

    Il est reprochĂ© au groupe hĂŽtelier d’avoir utilisĂ© des donnĂ©es personnelles sans demande de consentement afin de rĂ©aliser de la prospection commerciale.

  • CNIL et PIPC main dans la main

    Les deux institutions de régulation et de protection des données personnelles ont signé un accord de coopération.

  • CNIL et Pix associĂ©s pour dĂ©velopper le numĂ©rique

    L’instance de rĂ©gulation et la plate-forme de contenus de formation au numĂ©rique ont signĂ© une convention de partenariat.

  • Cookies : Amazon conforme, selon la Cnil

    Le géant du e-commerce avait écopé en décembre d'une amende de 35 millions d'euros assortie d'une injonction de se mettre en conformité avec la loi. Amazon s'est exécuté, s'épargnant une astreinte de 100 000 euros par jour de retard... mais risque d'avoir droit à une nouvelle visite de la Cnil.

  • Cookies : la Cnil clarifie les rĂšgles et promet des contrĂŽles

    Six mois aprĂšs la publication de ses lignes directrices quant aux traceurs publicitaires, la Cnil explicite ses rĂšgles et prĂ©cise que, aprĂšs une longue phase de sensibilisation, des contrĂŽles suivront, avec mises en demeure et sanctions. Quand bien mĂȘme tout n’est pas encore bien dĂ©fini, notamment la licĂ©itĂ© ou non des cookie walls.

    En octobre 2020, le gendarme des donnĂ©es personnelles publiait ses lignes directrices relatives au dĂ©pĂŽt de cookies sur les navigateurs des internautes. Les nouvelles rĂšgles avaient provoquĂ© sans surprise une levĂ©e de boucliers de la part des Ă©diteurs et des publicitaires, retardant apparemment les contrĂŽles de la Cnil qui explique aujourd’hui sur son site avoir menĂ© depuis la fin de l’annĂ©e derniĂšre une vaste campagne de sensibilisation.

    Et si le rĂ©gulateur souhaite toujours accompagner les Ă©diteurs, il n’entend pas pour autant faire preuve de laxisme. « La CNIL va dĂ©sormais rĂ©aliser des contrĂŽles pour Ă©valuer l’application des rĂšgles relatives aux traceurs, en application de l’article 82 de la loi Informatique et LibertĂ©s et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthĂ©tisĂ©es dans ses lignes directrices Â» prĂ©vient le gendarme des donnĂ©es personnelles. Si des manquements devaient ĂȘtre constatĂ©s, alors les sanctions pleuvront.

    Quid des murs de cookies ?

    Ainsi, mieux vaut ĂȘtre en conformitĂ©, c’est-Ă -dire permettre clairement et spĂ©cifiquement Ă  l’internaute de consentir, par un acte positif, au dĂ©pĂŽt de traceurs publicitaires sur son navigateur. « Son silence, qui peut passer par la simple poursuite de la navigation, doit dorĂ©navant s’interprĂ©ter comme un refus Â» prĂ©cise la Cnil.

    De mĂȘme, il est prĂ©fĂ©rable d’afficher un bouton Tout refuser au mĂȘme niveau que le bouton Tout accepter. De mĂȘme « il est aussi possible, par exemple, d’offrir explicitement Ă  l’internaute la possibilitĂ© de refuser les traceurs en fermant le bandeau cookies Â». Quant Ă  la seule option ParamĂ©trer accolĂ©e Ă  Tout accepter, elle tend selon le rĂ©gulateur Ă  dissuader le refus, ce qui n’est pas trĂšs RGPD.

    Ces rĂšgles-ci sont claires et dĂ©jĂ  Ă©tablies, mais quid des cookie walls. Cette pratique qui consiste Ă  limiter les services auxquels a accĂšs un utilisateur qui refuserait les cookies a Ă©tĂ© considĂ©rĂ© illicite par la Cnil. Toutefois, le Conseil d’État n’était pas de cet avis. Par consĂ©quent, rien n’empĂȘche pour l’heure les cookie walls, malgrĂ© l’opposition du ComitĂ© europĂ©en de la protection des donnĂ©es personnelles (CEPD). Du moins jusqu’à l’entrĂ©e en vigueur de la directive e-Privacy


  • Cookies : la Cnil ne plaisantait pas

    C’est une vingtaine de mises en demeure que la Cnil rĂ©vĂšle avoir adressĂ©es le 18 mai. Le gendarme des donnĂ©es personnelles avait prĂ©venu aprĂšs la publication de ses lignes directrices : il contrĂŽlera le respect des rĂšgles relatives aux cookies, notamment quant Ă  la facilitĂ© de refuser leur dĂ©pĂŽt, et sanctionnera les contrevenants le cas Ă©chĂ©ant.

    AprĂšs la sensibilisation, la Cnil serre la vis. En avril dernier, elle publiait quelques clarifications quant Ă  ses lignes directrices concernant les traceurs publicitaires et avertissait : voilĂ  plusieurs mois qu’elle sensibilisait au sujet, il Ă©tait dĂ©sormais temps de passer aux choses sĂ©rieuses. Et par choses sĂ©rieuses, il faut entendre contrĂŽle, mise en demeure et sanction. Et ce malgrĂ© une rebuffade du Conseil d’État qui autorisait en substance les cookie walls. D’oĂč, entre temps, certaines aberrations offrant le choix Ă  l’internaute entre accepter les cookies et payer pour pouvoir les refuser. 

    Sur ce sujet, la Cnil ne s’est pas encore exprimĂ©e, attendant l’adoption de la rĂ©glementation europĂ©enne en la matiĂšre. Mais pour tout ce qui touche aux dispositifs “ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter”, le rĂ©gulateur a sorti les griffes. Il annonce avoir mis en demeure en dĂ©but de semaine derniĂšre “une vingtaine d’organismes ayant des pratiques contraires Ă  la lĂ©gislation sur les cookies”. 

    On ne rigole plus

    Parmi eux, des gĂ©ants “de l’économie numĂ©rique” ainsi que des organismes publics. Pour la Cnil, pas de favoritisme, tous les sites sont logĂ©s Ă  la mĂȘme enseigne. Aucun nom n’est cependant citĂ©, le gendarme des donnĂ©es personnelles laissant un mois aux mis en demeure pour se transformer en “mis en conformitĂ©â€. Sans quoi ils encourent des sanctions pouvant s’élever Ă  2% de leur chiffre d’affaires. 

    “Il s’agit de la premiĂšre campagne de vĂ©rifications et de mesures correctrices depuis l’expiration du dĂ©lai accordĂ© aux acteurs pour mettre en conformitĂ© leurs sites et applications mobiles aux nouvelles rĂšgles en matiĂšre de cookies” Ă©crit la Cnil. Elle prĂ©vient en outre que d’autres contrĂŽles seront menĂ©s les prochaines mois, “ce sujet Ă©tant l’une des thĂ©matiques prioritaires de contrĂŽles de la CNIL en 2021”.

  • Cookies : la Cnil ne plaisante toujours pas