IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut France : le Conseil d'État estime que Google doit payer l'amende de 100 millions d'euros infligée par la CNIL
    La Cnil inflige une amende de 100 millions d'euros à Google pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr
    sans consentement préalable

    Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

    Les manquements à la loi Informatique et Libertés

    La Commission nationale de l’informatique et des libertés s'est réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Dominique CASTERA, Anne DEBET et Christine MAUGÜE, membres.

    La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :
    1. Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur : lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

      Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.
    2. Un défaut d’information des utilisateurs du moteur de recherche google.fr : lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

      Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

      La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.
    3. La défaillance partielle du mécanisme « d’opposition » : lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

    La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

    Nom : google.png
Affichages : 2241
Taille : 246,1 Ko

    La sanction prononcée par la formation restreinte

    La formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

    La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés. Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs. Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

    La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr. Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

    Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

    Une compétence de la CNIL

    Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

    Elle a considéré qu’elle est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société GOOGLE FRANCE qui constitue « l’établissement » sur le territoire français des sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED et y assure la promotion de leurs produits et services.

    Elle a également estimé que les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.

    L’articulation de la sanction avec les travaux de la CNIL sur les cookies

    Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.

    À cette occasion, elle a néanmoins précisé qu’elle continuerait notamment à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.

    Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par les sociétés préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

    Sources : Cnil
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut La Cnil condamne Amazon à une amende de 35 millions d'euros pour avoir enfreint la législation française
    La Cnil condamne Amazon à une amende de 35 millions d'euros,
    pour avoir enfreint la législation française sur les cookies.

    Entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a effectué plusieurs contrôles, notamment en ligne, concernant le site web amazon.fr. Ces vérifications ont permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

    Les manquements à la loi Informatique et Libertés

    La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé deux violations à l’article 82 de la loi Informatique et Libertés :

    1. Un dépôt de cookies sans recueillir le consentement de l’utilisateur : la formation restreinte a relevé que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire était instantanément déposé sur son ordinateur, c’est-à-dire avant que celui-ci n’exécute la moindre action. Or, la formation restreinte a rappelé que ce type de cookies, non essentiels au service, ne pouvait être déposé qu’après que l’internaute a exprimé son consentement. Elle a considéré que le fait de déposer des cookies concomitamment à l’arrivée sur le site était une pratique qui, par nature, était incompatible avec un consentement préalable.
    2. Un défaut d’information des utilisateurs du site amazon.fr : tout d’abord, la formation restreinte a relevé que dans le cas d’un internaute qui se rendait sur le site amazon.fr, les informations fournies n’étaient ni claires ni complètes.

      Elle a considéré que le bandeau d’information affiché par la société, en l’occurrence « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus », ne contenait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés. En particulier, elle a estimé qu’à la lecture de ce bandeau, l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées. Elle a également relevé que le bandeau n’indiquait pas non plus à l’utilisateur qu’il a le droit de refuser ces cookies et les moyens dont il dispose à cette fin.

      Ensuite, la formation restreinte a relevé que le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web. Elle a souligné que dans ce cas de figure, les mêmes cookies étaient déposés sans aucune information délivrée aux internautes.


    Nom : sanction.png
Affichages : 1678
Taille : 81,5 Ko

    La sanction prononcée par la formation restreinte

    La formation restreinte condamne la société AMAZON EUROPE CORE à une amende de 35 millions d’euros, rendue publique. Le montant retenu, ainsi que la publicité de l’amende, se justifie par la gravité des manquements constatés.

    Il a été tenu compte du fait que jusqu’à la refonte du site amazon.fr, en septembre 2020, la société déposait des cookies sur les ordinateurs des internautes résidant en France sans leur fournir les informations dans des conditions conformes à l’article 82 de la loi. Elle a relevé que, quel que soit le chemin emprunté par l’internaute se rendant sur le site, celui-ci était soit insuffisamment informé soit jamais informé du dépôt de cookies sur son ordinateur. La formation restreinte a considéré que dans le cas des utilisateurs accédant au site amazon.fr après avoir cliqué sur une annonce, le dépôt instantané de cookies, combiné à l’absence de toute information, portait particulièrement atteinte aux droits des internautes.

    En outre, quand bien même l’activité principale de la société réside principalement dans la vente de biens de consommation, la personnalisation des annonces, rendue possible notamment grâce aux cookies, permet d’augmenter considérablement la visibilité de ses produits ailleurs sur le web. Enfin, compte tenu de la place centrale occupée par le site amazon.fr en matière de commerce en ligne, ce sont des millions de personnes résidant en France qui se rendent quotidiennement sur le site et qui voient des cookies être déposés sur leurs ordinateurs.

    La formation restreinte a pris acte des récentes évolutions apportées au site amazon.fr et notamment le fait que plus aucun cookie ne soit désormais déposé avant que l’utilisateur n’ait donné son consentement. Elle a néanmoins considéré que le nouveau bandeau d’information déployé ne permettait toujours pas aux internautes résidant en France de comprendre que les cookies sont principalement utilisés pour leur afficher de la publicité personnalisée et que ces derniers n’étaient toujours pas clairement informés de leur possibilité de refuser ces cookies.

    Dès lors, en complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 100 000 euros par jour de retard.

    Sources : Délibération du 7 décembre 2020 concernant la société AMAZON EUROPE CORE, Cnil

    Et vous ?

    Que pensez-vous de cette décision ? Le montant vous semble-t-il faible, convenable ou élevé au vu de ce qui est reproché à Amazon ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  3. #3
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 385
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 385
    Points : 196 495
    Points
    196 495
    Par défaut France : le Conseil d'État estime que Google doit payer l'amende de 100 millions d'euros infligée par la CNIL
    France : le Conseil d'État estime que Google doit payer l'amende de 100 millions d'euros infligée par la CNIL,
    pour avoir déposé des cookies publicitaires sans consentement préalable des utilisateurs

    Le 16 mars 2020, la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.

    Par la suite, la CNIL s'est réunie en sa formation restreinte et a relevé trois violations à l’article 82 de la loi Informatique et Libertés :
    1. Un dépôt de cookies sans recueil préalable du consentement de l’utilisateur : lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

      Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.
    2. Un défaut d’information des utilisateurs du moteur de recherche google.fr : lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ».

      Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».

      La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser.
    3. La défaillance partielle du mécanisme « d’opposition » : lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché.

    La formation restreinte a donc estimé que le mécanisme « d’opposition » mis en place par les sociétés était partiellement défaillant, en violation de l’article 82 de la loi Informatique et Libertés.

    C'est pourquoi, en décembre 2020, la formation restreinte a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, rendues publiques.

    La formation restreinte a justifié ces montants au regard de la gravité du triple manquement précité à l’article 82 de la loi Informatique et Libertés. Elle a également souligné la portée du moteur de recherche Google Search en France et le fait que les pratiques des sociétés ont affecté près de cinquante millions d’utilisateurs. Enfin, elle a relevé les bénéfices considérables que les sociétés tirent des revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires.

    La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr. Elle a néanmoins relevé que le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

    Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.

    Nom : cnil.png
Affichages : 1377
Taille : 65,8 Ko

    Le Conseil d'État se range du côté de la CNIL

    Google (Google LLC et Google Ireland Limited) s'est saisi du Conseil d'État pour demander la suspension de l’exécution de la délibération de la formation restreinte de la CNIL.

    Les sociétés soutiennent que :
    • la condition d’urgence est satisfaite compte tenu du délai très réduit pour exécuter l’injonction, de l’impossibilité de respecter l’injonction compte tenu de l’incapacité de la mettre en œuvre dans un délai aussi court et de son caractère imprécis et du montant très élevé de l’astreinte qui atteint le maximum légal soit 100 000 euros par jour de retard ;
    •  il existe un doute sérieux quant à la légalité de la décision litigieuse ;
    •  la Commission nationale de l’informatique et des libertés n’était pas compétente pour édicter cette injonction alors que le mécanisme du guichet unique prévu par le chapitre VI du règlement général de la protection des données aurait dû être mis en œuvre ;
    •  la décision est entachée d’erreur de droit et d’erreur de qualification juridique des faits en ce que la CNIL a considéré que sa compétence territoriale sur le fondement de l’article 3, paragraphe 1*de la loi Informatique et Libertés exclurait nécessairement l’application du guichet unique du règlement général de la protection des données alors que les traitements litigieux présentent un caractère transfrontalier, qu’ils entrent dans le champ d’application du règlement général de protection des données et que la société Google Ireland Limited est l’établissement principal de Google en Europe.

    Après avoir convoqué à une audience publique, d’une part, les sociétés Google LLC et Google Ireland Limited, et d’autre part, la Commission nationale de l’informatique et des libertés, le juge des référés a décidé le 4 mars 2021 de rejeter la requête adressée par les sociétés Google LLC et Google Ireland Limited.

    Les sociétés requérantes ne contestent pas que l’injonction litigieuse concerne le respect des obligations applicables aux « cookies » découlant de l’article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002. Mais elles soutiennent que la CNIL serait incompétente pour prononcer une telle injonction, cette compétence appartenant à l’autorité de contrôle de l’établissement principal du traitement en application du mécanisme dit du guichet unique prévu par l’article 56*du règlement du 27 avril 2016 aux termes duquel : « Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant ; conformément à la procédure prévue à l’article 60 ». En application de ces dispositions, elles estiment que l’autorité de contrôle compétente devrait être l’autorité irlandaise, la société Google Ireland Limited étant l’établissement principal de Google en Europe.

    Dans sa décision, le Conseil d'État a indiqué que « les conditions de recueil du consentement de l’utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur. Ces dispositions ne prévoient pas, en revanche, l’application du mécanisme dit du guichet unique prévu à l’article 56*de ce règlement aux mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002 qui relèvent de la compétence des États membres en application des dispositions de l’article 15 bis de cette directive. L’existence de ces dispositions spécifiques fait obstacle à ce que les dispositions du règlement du 27 avril 2016 sur le mécanisme du guichet unique puissent s’appliquer. »

    Source : Conseil d'État (texte intégral)
    Images attachées Images attachées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 2
    Dernier message: 18/12/2019, 11h40
  2. Réponses: 8
    Dernier message: 11/06/2019, 14h42
  3. Réponses: 26
    Dernier message: 15/01/2018, 01h09
  4. Le député PS Yann Galut envisage une amende d'un million d'euros
    Par Stéphane le calme dans le forum Politique
    Réponses: 74
    Dernier message: 07/04/2016, 17h51
  5. La CNIL prononce une amende de 100 000 euros à l'encontre de Google
    Par Gordon Fowler dans le forum Actualités
    Réponses: 229
    Dernier message: 23/03/2011, 20h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo