Les cookies doivent pouvoir être refusés par les utilisateurs aussi facilement que de les accepter et les utilisateurs doivent être suffisamment informés des objectifs des différents cookies.

 

C’est sur ces principes que la CNIL prononce une sanction pécuniaire de 5 millions d’euros à l’encontre des sociétés TikTok Information Technologies UK Limited (Royaume-Uni) et TikTok Technology Limited (Irlande) le 29 décembre 2022.[1]

Que s’est-il passé ?

  • La CNIL a effectué plusieurs missions de contrôle concernant la version web de TIKTOK entre 2020 et 2022. La CNIL s’est intéressée au parcours suivi par les utilisateurs en fonction du choix réalisé sur le « bandeau cookies ». Ces contrôles ont mis en exergue plusieurs manquements.
  • Les sociétés ont collaboré avec l’autorité de contrôle tout au long de la procédure. Cependant, elles considéraient que les amendes administratives proposées étaient « disproportionnées et injustifiées au regard des circonstances de l’affaire et de la nature des manquements reprochés ».

Quels sont les manquements constatés ?

Un défaut du recueil du consentement

La CNIL retient plusieurs manquements relatifs au consentement, notamment au regard des dispositions de l’article 82 de la loi Informatique et Libertés, transposant l’article 5§3 de la directive « ePrivacy ».

  • Indépendamment du choix réalisé par l’utilisateur, plusieurs cookies étaient déposés sur leur terminal de manière systématique. Certain de ces cookies avaient pour finalité la publicité comportementale en ligne et n’étaient donc pas strictement nécessaires à la fourniture d’un service de communication en ligne. Ces cookies nécessitaient donc un consentement.
  • Le bandeau affiché sur la page d’accueil contenait un bouton permettant d’accepter immédiatement les cookies mais aucun moyen analogue n’était offert à l’utilisateur pour pouvoir refuser facilement le dépôt de ces cookies. La CNIL relève que 3 actions de l’utilisateur étaient nécessaires pour le refus. Ce mécanisme revenait à décourager les utilisateurs afin de les inciter à privilégier le bouton « tout accepter ».
  • Le principe de liberté du consentement implique que les modalités proposées à l’utilisateur pour manifester son choix ne doivent pas être biaisées en faveur du consentement. En l’espèce, lorsque l’utilisateur ne faisait aucun choix, le bandeau persistait à s’afficher en bas de la page. Cela incitait l’utilisateur à accepter les cookies afin de le faire disparaître.

Un défaut d’information suffisante des personnes

  • Le bandeau mentionnait que les cookies avaient pour finalité « des fins d’analyse et de marketing », sans que d’autres précisions ne soient apportées.
  • La CNIL indique que les termes « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing» ne sont pas suffisamment précis.
  • Ainsi, l’absence d’indications claires sur la finalité poursuivie par chaque cookie caractérise le défaut d’information. Cela place en effet l’utilisateur dans l’impossibilité de donner un consentement libre et éclairé.

Quelles sont les conséquences ?

  • La CNIL prononce une amende administrative de 2.5 millions d’euros à l’encontre de TIKTOK UK et une autre de 2.5 millions d’euros à l’encontre de TIKTOK IRLANDE.
  • La CNIL a décidé de rendre cette décision publique au regard du nombre de personnes concernées et de la gravité des manquements. En outre, beaucoup de mineurs étaient impactés, ce qui justifie une protection particulière.

Que faut-il retenir ?

L’utilisation des cookies est encadrée par des règles strictes qu’il est préférable de respecter, en particulier :

  • Il est primordial de veiller à :
    • suffisamment informer les utilisateurs sur les finalités de chaque cookie
    • et à donner aux utilisateurs la possibilité de refuser ou retirer leur consentement facilement.
  • Refuser des cookies doit pouvoir être aussi simple que de les accepter ; un bouton « refuser tous les cookies » ou « continuer sans accepter » doit être présent et visible aisément.
  • En outre, le design du bandeau ne doit pas tromper l’utilisateur et l’inciter à cliquer sur « accepter » par facilité.

Vous voulez installer des cookies ? Auditez ou faites auditer le parcours utilisateur pour vous assurer du respect des règles en matière de protection des données à caractère personnel. Et si vous collectez une grande quantité de données personnelles, voire des données personnelles de mineurs, soyez encore plus vigilant !

 

Claudia Weber, avocat fondateur et  Jean-Baptiste Olivo, juriste stagiaire | ITLAW Avocats

Besoin d’aide pour la mise en conformité RGPD de votre site internet ?

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles  pour vous accompagner dans la mise en conformité avec la règlementation applicable.

[1] CNIL. Délibération SAN-2022-027 du 29 décembre 2022

Nous contacter