Amendes en série pour les géants du web, mais aussi pour de plus petites entreprises. La Cnil a clairement mis en œuvre ses nouvelles directives sur la publicité et les données personnelles.
Certains trouveront les montants de ces amendes encore timides, d’autres salueront davantage les condamnations. La Cnil a appliqué, en décembre et en janvier, une série d’amendes qui marque un changement de ton. À chaque fois, la protection des données personnelles, et surtout, le consentement des utilisateurs est au cœur des réflexions. « La Cnil avait prévenu, le temps de la clémence est révolu », résume Merav Griguer, associée au sein du cabinet Bird & Bird. Tout le monde y passe. « La fin d’année 2022 s’est clôturée avec un florilège de sanctions qui se comptent en millions d’euros pour les Gafam et réseaux sociaux, en centaines de milliers d’euros pour les opérateurs et institutionnels français atteignant parfois le million [on peut noter Free, EDF, Infogreffe, Accor, Ubeeqo, TotalEnergies]. Mais aussi en dizaines de milliers d’euros pour de plus petits organismes, comme des universités, des restaurants, des notaires, et en milliers d’euros pour des professionnels individuels comme des médecins », détaille-t-elle.
Lire aussi : La Cnil sanctionne Microsoft pour ses cookies sans consentement
Mais ce sont les sanctions infligées aux Gafa qui font le plus parler d’elles. Le 22 décembre, c’est Microsoft qui écope de 60 millions d’euros d’amende. Le grief retenu est beaucoup plus parlant quant à l’état d’esprit de la Cnil. Ce sont bien les directives relatives au consentement des internautes qui posent problème. Le géant déposait des cookies à des fins publicitaires sans en prévenir l’utilisateur, et sans que celui-ci n’ait aucun moyen de les refuser. Conformément aux clarifications du RGPD établies en avril 2021, la Cnil note « l’absence d’un bouton permettant de refuser le dépôt de cookies aussi facilement que de l’accepter », ce qui était au cœur de ses recommandations officielles.
Lire aussi : Apple condamné par la Cnil à 8 millions d’euros
Même recette pour 2023, avec deux nouveaux géants qui ont officiellement écopé de leur première amende. Le 4 janvier, c’est Apple qui se fait sanctionner pour la première fois d’une amende de 8 millions d’euros, à la suite des contrôles datant de 2021 et 2022. En cause : l’inscription sur le terminal d’identifiant publicitaire pour l’App Store, sans que l'utilisateur ne donne son consentement. Alors que le géant à la pomme accélère extrêmement fort sur la publicité, voilà un premier rappel à l’ordre. Et le 12 janvier, c’est TikTok qui se fait taper sur les doigts avec une amende de 5 millions d’euros. « Les utilisateurs de “tiktok.com” ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies », détaille la Cnil. « Le message de l’autorité de régulation est clair : la protection des données personnelles est l’affaire de tous et la Cnil y veille », observe Merav Griguer. Un changement de ton qui se ressent aussi au niveau européen, avec pour exemple l’amende de 390 millions d’euros infligée à Meta par l’autorité irlandaise, pour ne pas donner le choix aux internautes de refuser les cookies. « On est désormais entré dans une nouvelle ère. Après le règne de “Big Brother”, “la Cnil is watching you” », conclut l’avocate.
Lire aussi : La Cnil inflige une amende de 3 millions d’euros à l’éditeur de jeux Voodoo
