La Commission nationale informatique & libertés (CNIL) annonce sur son site web que sa présidente a «décidé de mettre en demeure une vingtaine d’organismes ayant des pratiques contraires à la législation sur les cookies». L’institution, souvent désignée comme le «gendarme de l’internet» précise que les organismes visés par ces mises en demeure sont principalement d’importantes sociétés de l’économie numérique, mais également des acteurs publics.
Les entités visées ont un mois pour se mettre en conformité et encourent des sanctions pécuniaires pouvant aller jusqu’à 2% de leur chiffre d’affaires (dans le cas de sociétés privées) si ce délai n’est pas respecté. C’est la première campagne de vérifications depuis l’expiration du délai accordé aux acteurs pour se mettre en conformité avec les nouvelles règles en matière de cookies, ces traceurs informatiques critiqués par les défenseurs de la vie privée.
En octobre 2020, la Commission nationale informatique et libertés avait publié sa «recommandation» sur la publicité ciblée, fruit d'un travail de concertation pour appliquer les principes du Règlement général européen sur la protection des données (RGPD), entré en vigueur en 2018.
Des délais que dénonce la Quadrature du net
Et c’est justement ces délais qui font fulminer l’association la Quadrature du net, créée en 2008 pour lutter contre la censure et la surveillance sur le web, et qui accuse dans un communiqué la CNIL d’avoir «offert sans justification trois années de répit aux sites web violant la loi». Dès le 28 mai 2018, l’association, forte de 12 000 mandats de particuliers avait déposé cinq plaintes devant la CNIL contre Facebook, Google Search, Gmail, Youtube, iOS, Amazon et LinkedIn. Mais aucune n’a abouti à ce jour, et pour l’association «c’est au prix de manipulations que la CNIL a sciemment laissé se dérouler».
En outre, l’association estime que le RGPD lui-même est insuffisant et que sa «défaillance […] vis-à-vis des GAFAM est si totale et flagrante qu’il est difficile d’imaginer qu’elle ne soit pas volontaire ou, tout le moins, sciemment permise».
Un point de vue nuancé par le président-fondateur de Data Legal Drive, une société d'aide à la mise en conformité avec le RGPD, cité par l’AFP et qui avance que «le cadre juridique applicable en matière de cookies et traceurs est ancien et de plus en plus clair».
Toutefois, ce dernier estime que «les sociétés dont les sites ne sont pas en conformité ont délibérément décidé d'exploiter des cookies en violation des textes et au détriment de internautes». Il précise que ce sont surtout des sociétés qui vivent de la publicité et des statistiques de navigation.
Beaucoup moins pessimiste que la Quadrature du net quand au rôle effectif de la CNIL, il considère qu’ elle est encore «dans une logique de pédagogie» mais que les mises en demeure sont un signal envoyé au marché pour dire qu'à partir de maintenant elle surveille et elle sanctionne. Enfin, la CNIL précise avoir infligé aux sociétés Google et Amazon des amendes de 100 millions et 35 millions d’euros respectivement pour leurs pratiques en matière de cookies en décembre 2020.