Dans une délibération n° SAN-2022-027 du 29 décembre 2022, la formation restreinte de la CNIL a prononcé une amende administrative d’un montant de 5 millions d’euros à l’encontre des sociétés Tiktok Information technologies UK Limited et Tiktok Technology Limited, responsables conjoints des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social Tiktok.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Après les amendes prononcées à l’égard des sociétés Google, Facebook, Microsoft, Apple, la formation restreinte de la CNIL poursuit son contrôle des modalités de dépôt des cookies et autres traceurs. C’est ainsi au tour du réseau social le plus populaire en 2021, en particulier chez les jeunes, d’être sanctionné.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Pour pouvoir contrôler le réseau social, la CNIL a d’abord reconnu sa compétence et écarté le mécanisme du guichet unique dans la continuité de ses précédentes décisions et conformément à la jurisprudence récente du Conseil d’État (CE, 28 janv. 2022, n° 449209 ; CE, 27 juin 2022, n° 451423). Dès lors, la CNIL s’est attachée à vérifier que le consentement des utilisateurs de Tiktok.com résidant en France respectait bien les conditions de validité posées par le RGPD et que ceux-ci étaient suffisamment informés.

L’interdiction des consentements biaisés par la complexité des mécanismes de refus de cookies

Pour rappel, le consentement en matière de cookies et autres traceurs, prévu à l’article 82 de la loi Informatique et libertés assurant la transposition de la directive ePrivacy, doit s’entendre au sens de l’article 4, point 11 du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.

S’appuyant sur son interprétation de ces dispositions dans ses délibérations n° 2020-091 et 2020-092 du 17 septembre 2020, la formation restreinte de la CNIL estime que le principe de liberté du consentement tel que défini à l’article 4, point 11 du RGPD, « implique que l’utilisateur bénéficie d’une "véritable liberté de choix", comme souligné au considérant 42 du RGPD, et donc que les modalités qui lui sont proposées pour manifester ce choix ne soient pas biaisées en faveur du consentement » (point 66).

Or, la formation restreinte a constaté que le mécanisme de refus des cookies - impliquant trois actions via le bouton « gérer les paramètres » - est plus complexe que celui consistant à les accepter - nécessitant un seul clic sur le bouton « tout accepter ». S’appuyant sur différentes études relatives aux pratiques des utilisateurs, elle estime que le fait de rendre le mécanisme de refus des cookies plus complexe « revient en réalité à décourager les utilisateurs de refuser les cookies » et biaise l’expression du choix des utilisateurs en faveur du consentement, altérant ainsi leur liberté de choix (point 74). Aussi, la formation restreinte en déduit-elle que le consentement recueilli n’est pas valide « dans la mesure où l’utilisateur n’avait pas la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter » (point 77).

L’interdiction d’une information générale et approximative des finalités poursuivies par les cookies

L’article 82 de la loi Informatique et libertés impose également d’informer les utilisateurs de manière complète des finalités poursuivies par les opérations de dépôt et de lecture des cookies et des moyens dont ils disposent pour s’y opposer.

La formation restreinte précise à cet égard que s’« il est possible de compléter l’information figurant au premier niveau via un lien hypertexte, il n’en demeure pas moins que celle présente dans le bandeau dédié doit être suffisamment claire pour permettre à l’utilisateur de faire un choix éclairé dès cette étape » (point 85). De plus, la formation restreinte estime que « si plusieurs cookies peuvent servir la même finalité ou que certains cookies peuvent poursuivre plusieurs finalités, l’utilisateur doit en être informé lorsque l’interface de recueil du consentement propose d’exprimer son choix cookie par cookie ».

Or, les finalités ne sont pas développées de façon suffisamment précise ni sur le bandeau d’informations affiché en page d’accueil ni après avoir cliqué sur un lien présent. Aussi, l’information fournie par les sociétés n’était pas suffisante et ne permettait pas aux utilisateurs de pouvoir donner un consentement libre et éclairé.