Joyeux anniversaire le RGPD ! Coïncidence ou pas, la Commission nationale informatique et libertés (CNIL), gendarme français des données personnelles, a annoncé ce 25 mai, jour du troisième anniversaire de l'entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), "une vingtaine de mises en demeure" concernant "principalement d'importantes sociétés de l'économie numérique", dont des "acteurs internationaux" qui ne sont pas nommés. L'objet de son courroux ? Ces acteurs ne respectent pas la législation en matière de cookies.
"Refuser le traçage doit être aussi facile que l'accepter"
L'autorité dit avoir effectué une série de contrôles en avril et avoir constaté qu'un "certain nombre d'organismes ne permettaient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter", explique le régulateur dans un communiqué. Les mises en demeure étant non publiques, les noms de ces organismes n'ont pas été dévoilés, et ceux-ci disposent d'un mois pour se mettre en conformité, sous peine de devoir payer une amende pouvant grimper jusqu'à 4% de leur chiffre d'affaires mondial. Mais les indications sont claires : des géants du Net américains sont concernés.
"Il s'agit de la première campagne de vérifications et de mesures correctrices depuis l'expiration (le 1er avril) du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies. Des actions similaires seront conduites au cours des prochains mois", rappelle la Cnil.
En octobre 2020, la Commission nationale informatique et libertés avait publié sa "recommandation" sur la publicité ciblée, fruit d'un long travail de concertation pour appliquer les principes du Règlement général européen sur la protection des données (RGPD), entré en vigueur en 2018.
Celui-ci prévoit notamment un consentement explicite au recueil des données personnelles. Concrètement, le régulateur souhaite que sur les bandeaux de recueil du consentement, le bouton "Refuser tout" soit aussi facile d'accès que "Tout accepter". Or, chacun a pu constater sur le Net que c'est aujourd'hui très loin d'être le cas : parfois le bouton "tout accepter" est bien plus visible que le bouton "Refuser tout", et parfois même, cette dernière option est reléguée soit en petits caractères, soit tout en haut de la page pour pousser l'internaute à accepter le traçage car il n'aurait pas vu tout de suite le bouton pour refuser.
La Cnil avait laissé six mois aux éditeurs de sites et d'applications mobiles pour s'adapter. Dans l'intervalle, elle avait toutefois sanctionné Google et Amazon avec des amendes record de 100 et 35 millions d'euros en raison de bandeaux d'information non conformes, sur la base d'une législation antérieure au RGPD.
Bilan contrasté du RGPD en terme d'amendes
Avec ce tir groupé annoncé le jour de l'anniversaire du RGPD, la Cnil envoie un signal clair : l'autorité de contrôle entend pleinement jouer son rôle de vigie du respect de la législation et dégainer l'arme des sanctions dès que nécessaire. Elle indique également que sa patience a des limites : maintenant que la période de mise en conformité est terminée, les organisations récalcitrantes doivent accélérer si elles veulent éviter une amende.
Mais derrière le coup de com', cette apparente sévérité ne se traduit pas vraiment dans les faits. Depuis 2018, les autorités européennes de protection des données, notamment la CNIL mais aussi son équivalente irlandaise, pays où Google et Facebook ont leur siège européen, n'ont pas vraiment utilisé toute la latitude que le RGPD leur laisse en matière d'amendes. La règlementation stipule en effet qu'en cas de manquement, l'amende peut grimper jusqu'à 4% du chiffre d'affaire mondial, ce qui se chiffre en milliards d'euros pour les fameux Gafa, souvent montrés du doigt. Mais l'amende la plus importante a été celle infligée à Google, de 100 millions d'euros, pour non-respect des règles sur les cookies. Une somme importante mais qui reste une goutte d'eau pour le géant américain.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés