Cookies et publicité ciblée : l’étau se resserre autour des géants du Web
Corinne Thiérache et Alice Marie
• Le Conseil d’Etat confirme la légalité de la sanction infligée à Google par la CNIL
Dans une décision prononcée le 4 mars 2021, le Juge des référés du Conseil d’État a rejeté la requête introduite par les sociétés Google LLC et Google Ireland Limited visant à obtenir la suspension de l’exécution de la délibération de la formation restreinte de la CNIL du 7 décembre 2020. Pour mémoire, une amende record de 100 millions d’euros avait été prononcée à leur encontre à la suite de manquements constatés notamment à leurs obligations de recueil du consentement et d’information préalables au dépôt de cookies publicitaires.
En particulier, les requérantes contestaient la compétence de la CNIL pour édicter une injonction, en raison du mécanisme du guichet unique prévu par le Règlement général sur la protection des données (RGPD). Dès lors, selon les requérantes, l’autorité de contrôle compétente aurait dû être l’autorité irlandaise, la société Google Ireland Limited étant l’établissement principal de Google en Europe. La CNIL aurait ainsi commis une erreur de droit et de qualification juridique, créant un doute sérieux sur la légalité de la décision.
Pour justifier le rejet de la requête après avoir entendu les parties lors d’une audience publique le 11 février 2021, le Conseil d’État a jugé que :
« les conditions de recueil du consentement de l’utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur. Ces dispositions ne prévoient pas, en revanche, l’application du mécanisme dit du guichet unique prévu à l’article 56* de ce règlement aux mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 qui relèvent de la compétence des États membres en application des dispositions de l’article 15 bis de cette directive. L’existence de ces dispositions spécifiques fait obstacle à ce que les dispositions du règlement du 27 avril 2016 sur le mécanisme du guichet unique puissent s’appliquer. »
Le Conseil d’État ne s’est donc pas prononcé sur le reste des arguments des requérants qui justifiaient l’urgence de la décision.
• Google confirme officiellement la suppression future des cookies tiers
Hasard du calendrier, Google a annoncé sur son blog le 3 mars dernier que les cookies tiers seront officiellement supprimés d’ici à deux ans et remplacés par de nouveaux outils. Parmi eux, la plateforme Federated Learning of Cohorts (FLoC), actuellement en développement, vise à supprimer les identifiants individuels en ciblant des groupes de personnes ayant des intérêts communs.
Ce changement sera à surveiller avec attention car il risque de donner un avantage certain aux GAFAM qui ont, par définition, accès à des informations qui leur permettent, en les croisant, de cerner les groupes de personnes ayant des intérêts communs grâce à leurs services (moteur de recherche, réseaux sociaux, applications diverses, etc.) sans passer par les cookies.
Ce mouvement de recherche de solutions alternatives aux cookies appelées également des solutions « cookieless » remet d’actualité pour d’autres acteurs, éditeurs de sites ou d’applications mobiles, la publicité contextuelle qui permettrait de s’affranchir de la nécessité de recueillir le consentement des utilisateurs pour la dépose des cookies.
• Une plainte déposée contre Apple devant la CNIL
Preuve que la contestation de certains comportements des grands acteurs du numérique est au cœur de l’actualité, l’association France Digitale annonce avoir déposé mardi 9 mars 2021 une plainte contre Apple devant la CNIL.
France Digitale, qui représente plus de 1800 start-up et investisseurs dans le numérique, estime que l’entreprise américaine viole le RGPD en imposant de la publicité ciblée aux utilisateurs sans leur consentement via une activation « par défaut » du ciblage publicitaire depuis la mise à jour iOS 14. La réponse de la CNIL devra dès lors être suivie de très près.
Cette plainte s’ajoute aux autres accusations dont Apple fait l’objet en Europe : en novembre 2020, l’association de protection des droits numériques None of your business (NOYB), présidée par le militant Max Schrems, a déposé deux plaintes devant les autorités de régulation allemande et espagnole. Elle accuse Apple de violer la législation européenne avec l’Apple’s Identifier for Advertisers (IDFA), sorte de « code de suivi » permettant à Apple ainsi qu’à toutes les applications du téléphone de suivre un utilisateur sans son consentement et de combiner des informations sur son comportement.
Cette actualité devrait donc inciter encore davantage l’ensemble des acteurs concernés à se mettre en conformité avec la réglementation sur les cookies et la publicité ciblée sans délai. Ceci est d’autant plus urgent que des groupes et associations veillent à ce qu’une situation de « deux-poids deux-mesures » ne s’installe pas sur le marché de la publicité en ligne au profit des géants du Web… Pour rappel, les acteurs ont jusqu’au 31 mars 2021 pour se mettre en conformité avec les lignes directrices et la recommandation concernant les cookies et autres traceurs publiées le 1er octobre 2020.
Corinne Thiérache, Associée, et Alice Marie, Avocat du Département Droit des technologies et du numérique.