Sanctions contre Google et Amazon relatives aux cookies : quelles leçons pour les opérateurs africains du numérique ?
mercredi 16 décembre 2020
Sous l’empire du RGPD [1], et bien que la CNIL [2] ait infligé contre Google et Amazon [3], pour violation des règles relatives au consentement aux cookies, des amendes dites record, respectivement de l’ordre de 65,6 milliards et 22,9 milliards d’euros, soit environ 43 033 600 000 et 15 061 760 000 de F CFA, les opérateurs africains de l’Economie numérique devraient en tirer des leçons de survie, notamment ceux qui ont des activités ou envisagent avoir des activités dans l’espace du RGPD. Toute la problématique de ces sanctions tourne autour du droit à l’information de la personne concernée dont les données à caractère personnel sont collectées, transférées et traitées par le mécanisme des cookies. La bonne compréhension desdites sanctions commande l’abord des généralités sur les notions d’opérateur africain de l’Economie numérique et de cookies (I), la présentation des règles relatives aux cookies (II), la démarche et l’esprit des sanctions considérées (III), le quantum, l’impact des sanctions et les leçons à tirer (IV).
I. NOTIONS D’OPERATEUR AFRICAIN DE L’ECONOMIE NUMERIQUE ET GENERALITES SUR LES COOKIES
1. Notion d’opérateur africain de l’Economie numérique au regard de la CNIL
Au regard de la CNIL et du RGPD, un opérateur de l’Economie numérique africain concerné peut être identifié directement ou indirectement. Il est à relever à ce propos que le mécanisme des cookies entraîne des transferts et des traitements des données à caractère personnel. A ce titre, la pertinence du débat relève de la compétence de la loi applicable aux opérateurs africains de l’Economie numérique, notamment le mécanisme de rattachement au RGPD et à la CNIL.
a. Identification et rattachement directs. Sont directement identifiés comme rattachés au RGPD et à la CNIL, les opérateurs africains de l’Economie numérique qui sont, premièrement, formellement installés dans l’espace de compétence du RGPD [4] : actuellement il y a environ 49 pays adéquats sur 210, dont 37 sur 53 en Europe, 2 sur 55 en Afrique, 1 sur 23 en Amérique du Nord, 1 sur 15 en Amérique du Sud, dont 1 en adéquation sous condition ou partielle (Etats-Unis), 2 sur 47 en Asie, 3 sur 15 en Océanie.
En second lieu, il y a ceux qui ne sont pas installés dans l’espace RGPD mais qui sont volontairement sous son empire par les mécanismes de l’adéquation, des garanties appropriées – clauses contractuelles types du RGPD, règles internes contractuelles/binding corporate rules, code de conduite, et/ou mécanisme de certification, des transferts atypiques [5].
b. Identification et rattachement indirects. Les autres opérateurs africains de l’Economie numérique, qui peuvent être considérés comme indirectement rattachés au RGPD et à la CNIL, sont ceux qui visent l’espace du RGPD dans leurs activités. C’est une démarche empruntée à la jurisprudence européenne et française dans le domaine du cyber délit relatif au contentieux international privé.
A ce propos, l’on peut prendre, par analogie, l’une des solutions de principe du contentieux international des activités du numérique et des nouvelles technologies qui avait posé les théories de l’accessibilité et de la focalisation. Ainsi, selon la théorie de l’accessibilité, la compétence peut être établie si un site internet est accessible dans un espace juridique déterminé, au motif que c’est le lieu de la matérialisation du dommage allégué [6], autrement dit le lieu où les cookies sont instrumentés. En ce qui concerne la théorie de la focalisation, la compétence peut être établie dès lors qu’il existe un faisceau d’indices démontrant que l’opérateur africain a cherché à diriger son activité vers un espace juridique relevant du RGPD ou de la CNIL [7]. Cette focalisation se réalise par les diverses non exhaustives hypothèses ci-après : la mention expresse selon laquelle il offre ses services dans les pays concernés, l’engagement de dépenses pour le référencement favorable sur un moteur de recherche dans l’espace concerné, la nature internationale de l’activité en cause induite par la mention des coordonnées avec un préfixe international, l’extension du nom de domaine, la description d’itinéraire depuis l’Etat étranger, l’indication d’une présence de clientèle internationale prouvée par exemple au moyen des témoignages de clients étrangers sur le site, la monnaie et langue dans des cas précis.
2. Définition et typologie des cookies/traceurs
a. Définition de « cookie ». La CNIL définit le cookie [8] comme : « un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc) ». Les cookies concernent donc l’essentiel des activités et des opérations du numérique. Autrement dit, techniquement, il s’agit des environnements web, des applications mobiles et des environnements non logués dans lesquels les utilisateurs ne sont pas authentifiés (tels que les consoles de jeux vidéo, les télévisions connectées, ou encore les assistants vocaux).
b. Typologie des cookies/traceurs
L’on peut distinguer comme types de cookies : les cookies http, les cookies « flash », le résultat du calcul d’empreinte dans le cas du « fingerprinting » (calcul d’un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage), les pixels invisibles ou « web bugs », tout autre identifiant généré par un logiciel ou un système d’exploitation, par exemple.
Néanmoins selon la CNIL, certains cookies ne sont pas sujet à sanction au titre de non-respect des règles relatives au consentement, étant entendu que leur utilisation ne nécessite pas le recueil du consentement préalable de l’utilisateur. Il s’agit des cookies fonctionnels permettant l’authentification, la mémorisation des préférences de l’utilisateur (en ce qui concerne le choix de langue et de présentation du service), la navigation d’une page à une autre, le panier d’achat, et cætera.
3. Finalités et incidence des cookies dans l’Economie numérique
a. Finalités des cookies. Les cookies peuvent avoir une finalité directement économique et une finalité indirectement économique. Sur le plan directement économique, les cookies servent au ciblage et à l’affichage et la diffusion des publicités en les adaptant aux centres d’intérêts des utilisateurs, à l’adaptation de l’offre de services aux préférences d’affichage des terminaux. Sur le plan indirectement économique, les cookies ont pour finalités : l’analyse technique de la navigation sur un site par l’accès aux espaces personnels via les identifiants des personnes, la personnalisation de contenu, la mesure de l’audience des visites d’un site internet, l’amélioration de l’interactivité entre les utilisateurs et les opérateurs d’un site internet, l’usage de réseaux sociaux.
b. Incidence des cookies sur l’Economie numérique. Les cookies sont l’un des instruments les plus importants de collecte des données à caractère personnel, qui sont elles-mêmes la matière première de la création de la valeur dans l’Economie numérique. Les données ont réussi à être le produit, le client et une monnaie de l’Economie numérique. Par conséquent les cookies ne peuvent être supprimés mais, ils doivent être encadrés. Sur un plan plus général, la collecte des données à caractère personnel peut avoir des visées aussi bien économiques, sécuritaires ou qu’autres.
II. REGLES DE LA CNIL RELATIVES AUX COOKIES
Après une consultation publique [9], les règles générales du mécanisme des cookies trouvent leur fondement dans les lignes directrices et la recommandation édictées par la CNIL [10], qui fixent les modalités pratiques selon lesquelles les opérateurs peuvent recueillir le consentement des utilisateurs au dépôt de cookies sur leurs terminaux. Il s’agit de la recherche d’un équilibre juste entre le devoir d’information dévolu à l’opérateur et le droit au consentement dévolu à l’utilisateur dont les données à caractère personnel sont collectées.
1. Règles relatives à l’information sur le dépôt des cookies
a. Caractéristiques des informations. Pour ce qui est des modalités du devoir d’information, l’opérateur a l’obligation de faire parvenir à l’utilisateur trois catégories majeures d’informations. En outre ces informations doivent être permanentes, mises à jour et préalables au consentement de l’utilisateur. En cas de mise à jour des informations sur les responsables de traitement, il est exigé que les opérateurs recueillent de nouveau le consentement de l’utilisateur.
b. Contenu des informations. Il s’agit des informations sur les finalités des cookies, les responsables de traitement et la portée du consentement. Premièrement, dans le cas des informations sur la finalité des cookies, la CNIL exige que les finalités soient formulées de manière intelligible, dans un langage adapté et suffisamment clair et synthétique pour l’utilisateur, que chaque finalité soit mise en exergue dans un intitulé court accompagné d’un bref descriptif pour informer sur l’étendue de la finalité et la nature des données utilisées. Deuxièmement, les informations sur le responsable de traitement, qui peut être l’éditeur du site ou de l’application, sur la liste de l’ensemble des prestataires auxquels il fait appel et qui seraient susceptibles de déposer des cookies et autres traceurs sur les terminaux des utilisateurs. En dernier lieu, la portée du consentement commande de préciser à chaque fois la nature de chaque prestation à laquelle est destinée la collecte des données par les cookies. Il peut s’agir de la publicité ciblée, des outils d’analyse, des réseaux sociaux, etc).
2. Règles relatives au consentement pour la collecte par les cookies
a. Le moment du consentement. Le consentement doit pouvoir être donné avant toute opération d’écriture ou de lecture de cookies et autres traceurs. Le recueil du consentement de l’utilisateur ne pouvant être considéré comme valable pour une durée indéfinie, il doit être renouvelé tous les six mois.
b. Les options. Il doit y avoir sur le même plan la présentation simultanée à l’utilisateur de la possibilité de consentir et la possibilité de ne pas consentir à l’utilisation des cookies. Cela signifie que les cases à cocher ou les boutons permettant de choisir entre « autoriser » et « interdire », ou entre « accepter » et « refuser » doivent être au même niveau et de même couleur. Ce qui exclut et interdit tout design trompeur de nature à inciter la personne concernée à accepter l’utilisation des cookies, ainsi que la proposition à l’utilisateur le choix d’accepter l’utilisation des traceurs ou le choix de cliquer sur un lien le renvoyant à une autre page sur laquelle il peut refuser l’utilisation des cookies.
c. Le cas du recueil global du consentement. Il est possible de recueillir un consentement global de l’utilisateur à condition que : l’ensemble des finalités des traceurs ait préalablement été présenté à l’utilisateur, l’utilisateur puisse, s’il le souhaite, consentir distinctement à chaque traceur selon la finalité, l’utilisateur puisse refuser de manière globale au même niveau et dans les mêmes conditions l’utilisation des cookies.
d. Les caractéristiques du consentement. Le consentement de l’utilisateur doit être éclairé, libre, spécifique, univoque et exprès par un acte positif clair démontrant que l’utilisateur a bien conscience de l’objectif et de la portée de son accord ou de son refus pour les cookies.
c. La preuve du consentement. La preuve du consentement de l’utilisateur doit être rapportée par la démonstration que le mécanisme de recueil est conforme aux exigences de son recueil et par une preuve individuelle. Les moyens de preuve du consentement peuvent être : la mise en place d’un système d’audit de code par la mise sous séquestre du code informatique auprès d’un tiers, des captures d’écran du rendu visuel tel qu’il s’affiche pour chacune des versions du site internet, de la réalisation régulière d’audits portant sur le mécanisme de recueil du consentement de l’utilisateur. La charge de la preuve du consentement et de ses modalités incombe à l’organisme en charge de recueillir le consentement.
d. Le retrait du consentement. L’utilisateur doit avoir la possibilité de retirer son consentement. A cet effet, l’utilisateur doit être informé, avant son consentement sur l’utilisation des cookies, sur les moyens de retirer son consentement et la durée de sa validité. Le retrait doit être faisable de la manière la plus simple possible à l’aide d’un lien ou d’une icône statique facilement accessible et intitulée « gérer mes cookies ».
3. Bonnes pratiques en matière de consentement des cookies
Bien qu’aucun formalisme rigide ne soit édicté pour la présentation de la page de recueil des cookies, dans la pratique, l’ordre de présentation peut être le suivant : option globale, selon les cas, « apprendre davantage » ou « refuser », ou « accepter »/« paramétrer » ou « refuser », ou « tout accepter » ou « tout refuser » ; l’option « accepter » ou « refuser » chaque finalité indiquée ; le message expliquant en détail la portée de l’acceptation des cookies ; et enfin l’option « tout accepter » ou « tout refuser » ou encore « enregistrer ». Les opérateurs peuvent faire usage de plusieurs variantes, l’essentiel étant de présenter les options de sorte à garantir la décision éclairée et expresse de l’utilisateur en toute bonne conscience.
III. ESPRIT ET PROCEDURES DES SANCTIONS DE LA CNIL
Les sanctions de la CNIL sont administratives et peuvent être soit pécuniaires soit non-pécuniaires. Dans le cas des amendes infligées à Google et Amazon, il s’agit de condamnations administratives pécuniaires, qui peuvent être prononcées sous astreinte et n’excluent pas d’autres de natures pénale et civile.
1. Logique et esprit de la démarche préventive et répressive de la CNIL
a. La démarche préventive a priori. Au préalable, la logique actuelle de la CNIL, contrairement à celle antérieure de l’autorisation et de la déclaration en amont, repose désormais sur le principe de la conformité continue, tout au long du cycle de vie de la donnée dont les opérateurs sont responsables, sous le contrôle et avec l’accompagnement de la CNIL.
b. La démarche répressive a posteriori. La logique des sanctions est celle du contrôle a posteriori, reposant sur la réalisation des vérifications après la mise en place des mécanismes de recueil des cookies.
2. Procédures et modalités des sanctions de la CNIL
Dans l’exercice de ses missions, la CNIL dispose d’actions, modalités et procédures précises.
a. Les actions de contrôle de la CNIL se déclinent en : ordre de communication de toute information requise, et obtention de l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires auprès du responsable de traitement ou du sous-traitant.
b. Les modalités de contrôle sont la possibilité de dissimulation de l’identité des contrôleurs, l’éventualité de conduite des opérations conjointes avec d’autres autorités nationales de contrôle selon les dispositions du RGPD [11], la non-opposabilité du secret professionnel – excepté le secret professionnel applicable aux relations entre un avocat et son client, le secret des sources de traitement journalistiques et le secret médical -, la nécessité de l’autorisation du juge judiciaire en cas d’opposition de la personne contrôlée, et l’exclusion des opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.
c. Les procédures de contrôle peuvent se faire en deux étapes. Premièrement la mise en demeure facultative et préalable, adressée au responsable de traitement pour lui permettre de satisfaire aux exigences et de se conformer. En second lieu, il y a la procédure de sanction proprement dite suite à l’inexécution des mesures ordonnées dans la mise en demeure. Ladite procédure de sanction est urgente, contradictoire et effectuée par devant la CNIL en « formation restreinte [12] ».
IV. SANCTIONS RELATIVES AUX COOKIES ET LEÇONS A TIRER
1. Etendue de la compétence du RGPD
Etant sous l’empire du RGPD, la compétence de la CNIL est aussi celle des autres autorités de contrôle/régulateurs de la protection des données à caractère personnel recueillies au moyen des cookies. Techniquement, en dehors de la CNIL, les opérateurs non conformes peuvent aussi subir des sanctions des autres régulateurs de tous les autres pays régis par le RGPD pour les mêmes motifs. L’étendue de cette sphère de compétence est décrite au point I.1. supra.
2. Typologie des sanctions de la CNIL
Quant aux sanctions de la CNIL proprement dites, on distingue celles administratives pécuniaires et celles non-pécuniaires.
a. Les sanctions non-pécuniaires peuvent être l’interruption provisoire de la mise en œuvre du traitement, la limitation du traitement, la suspension provisoire de la certification délivrée, la suspension provisoire de l’agrément délivré, la suspension provisoire de l’autorisation, l’injonction de se mettre en conformité, le rappel à l’ordre, l’information des autorités étatiques, et l’information d’autres autorités de contrôle/régulateur de la protection des données à caractère personnel.
b. Les sanctions pécuniaires sont des amendes administratives, sans préjudice des actions pénales et civiles. Elles doivent être effectives, proportionnées et dissuasives. Elles peuvent être assorties d’astreinte. Les critères de détermination du montant des amendes relèvent du droit de chaque Etat. Les montants des amendes sont tributaires de la nature et des circonstances de la faute considérée.
c. Les sanctions morales. On peut citer les peines morales qui agissent sur l’e-réputation de l’opérateur. Un opérateur indexé par un régulateur pour non-respect des règles relatives à la protection des données à caractère personnel, peut perdre toute la confiance de ses partenaires et de ses clients.
3. Quantum et impact des sanctions de la CNIL
Selon la gravité de la faute, le montant des amendes administratives diffère.
a. En fourchette basse, les amendes peuvent s’élever à 10 millions d’euros, soit environ 656 millions de F CFA, ou 2% du chiffre d’affaires annuel mondial de l’exercice précédent de l’opérateur fautif.
b. En fourchette haute, la sanction est d’un montant de 20 millions d’euros, soit environ 1,3 milliards de F CFA, ou 4% du chiffre d’affaire annuel mondial de l’exercice précédent de l’opérateur fautif.
Pour expliquer les amendes qui sont d’un montant supérieur à ces taux plafond, il peut être argué qu’il s’agit des cas de violations à répétitions, même dans le cas d’une faute de même nature. A ce titre, il est utilisé une méthode qui permet de considérer autant de violations que des personnes différentes concernées ou de sites différents par le même fautif.
4. Leçons à tirer pour les opérateurs africains de l’Economie numérique
a. Mise en garde des opérateurs africains non conformes et susceptibles d’être sanctionnés. Le dispositif de recueil des cookies génère d’importants revenus pour les opérateurs de l’Economie numérique car, elle leur permet de bénéficier des flux des valeurs drainés par l’Economie numérique. Mais, elle est aussi porteuse de dangers pour les opérateurs. Par ailleurs, le fait de ne pas produire le bandeau relatif aux cookies ne peut exclure la sanction, étant entendu que le contrôle peut être réalisé nonobstant. Enfin, le vide juridique dans les Etats étrangers ne peut constituer une excuse pour éviter la sanction.
b. Possibilité d’inclusion et d’exclusion. Sur le plan de l’inclusion numérique sous l’angle des affaires et de la création de la valeur marchande, la conformité aux règles permet d’évoluer en toute tranquillité sur un marché de l’Economie numérique qui est extensible à l’infini. Sur le plan stratégique, les sanctions peuvent être des outils d’exclusion dans le sens qu’il suffit d’une condamnation ou d’une éventualité de condamnation pour ne plus exister. A titre d’exemple, sans qu’il y ait eu l’intention de nuire, suite à une amende relative à la violation des règles sur la protection des données à caractère personnel, l’entreprise Fidzup, spécialisée dans le ciblage publicitaire, a dû fermer suite à la mise en demeure publique faite par la CNIL en 2019. L’entreprise n’avait pas encore généré un chiffre d’affaire mais, la sanction morale sous forme de mise en demeure a fortement impacté sur son e-réputation.
De même une hypothèse de sanction pourrait servir les intérêts de la concurrence déjà atroce dans le secteur. C’est le cas de l’amende au forfait non adossée sur le pourcentage du chiffre d’affaire qui peut donner des idées d’actions punitives pour la préservation des espaces et des parts de marché.
CE QU’IL FAUT RETENIR
La nature transfrontière, en principe, des activités de l’Economie numérique et le principe de globalisation qu’elle induit dans l’hypothèse du village planétaire, est porteuse d’espoir pour les opérateurs africains en ce sens qu’elle leur permet de capter les valeurs incommensurables drainées par les flux. Mais, elle est aussi tributaire de risques considérables dès lors que l’on s’affranchit des règles relevant des espaces juridico-économiques dans lesquels ils évoluent ou envisagent évoluer, ce d’autant plus que les mécanismes de rattachement aux ordres juridiques tels que le RGPD sont réels et divers. Raison pour lesquelles l’astreinte à la conformité est une vertu cardinale à respecter de peur de disparaître. S’il est possible de sanctionner l’un ou plusieurs des puissants GAFAM [13], a plus forte raison des opérateurs naissants et généralement peu viables africains.
Laurent-Fabrice ZENGUE [14]
(Source : Digital Business Africa, 16 décembre 2020)
[1] RGPD : Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) constitue le texte de référence en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Il a une sphère de compétence qui s’étend au-delà de l’espace géographique européen.
[2] CNIL : Dans l’univers numérique, la Commission Nationale de l’Informatique et des Libertés (CNIL) est le régulateur des données personnelles. En tant qu’autorité de contrôle de l’application du RGPD pour la France, elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits.
[3] [CNIL, Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED
[5] RGPD, Articles 44, 45, 46, 47, 48 et 49. Zengue L-F, Transfert de données à caractère personnel hors union européenne : quelle approche pour évincer le risque juridique ? https://www.village-justice.com/articles/transfert-donnees-caractere-personnel-hors-union-europeenne-quelle-approche,30843.html
[6] Cass., 1ère ch., civ., Arrêt n° 1110 du 18 octobre 2017 (16-10.428) – Cour de cassation – Première chambre civile. Association Théâtre royal de luxe c/ société Coca-Cola services France et autres.
[7] CJUE, 7 décembre 2010, aff. C-585/08 et C-144/09, Peter Pammer c/ Reederei Karl Schlüter GmbH & Co. KG et Hotel Alpenhof GesmbH contre Oliver Heller. https://cdre.eu/68-documentation-en-ligne/police/jurisprudence/494-arret-de-la-cour-grande-chambre-du-7-decembre-2010-peter-pammer-contre-reederei-karl-schluter-gmbh-co-kg-c-585-08-et-hotel-alpenhof-gesmbh-contre-oliver-heller-c-144-09
Cass., com., Arrêt du 11 janvier 2005. Hugo Boss / Reemtsma Cigarettenfabriken. https://www.legalis.net/jurisprudences/cour-de-cassation-commerciale-financiere-et-economique-arret-du-11-janvier-2005/
[8] CNIL, Un cookie : qu’est-ce que c’est ? https://www.cnil.fr/fr/cnil-direct/question/un-cookie-quest-ce-que-cest
[9] CNIL, Synthèse des contributions de la consultation publique sur le projet de recommandation « cookies et autres traceurs », https://www.cnil.fr/sites/default/files/atoms/files/synthese-contributions-cookies-et-autres-traceurs.pdf
[10] CNIL, Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019. https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation#:~:text=les%20personnes%20doivent%20consentir%20au,%C3%AAtre%20d%C3%A9pos%C3%A9%20sur%20leur%20appareil.
CNIL, Recommandation « cookies et autres traceurs ». https://www.cnil.fr/sites/default/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf
[11] RGPD, Article 50.
[12] La formation restreinte est l’instance de la CNIL chargée de l’examen des sanctions à infliger. Elle est différente de la composition de la Commission elle-même.
[13] GAFAM est l’acronyme des géants du Web, Google, Apple, Facebook, Amazon et Microsoft, qui sont les cinq grandes firmes qui dominent le marché du numérique, encore appelées les Big Five, ou encore « The Five ».
[14] Laurent-Fabrice ZENGUE, Juriste-Droit du numérique et des données Diplômé de l’Université Paris1 Panthéon-Sorbonne Chef de la Cellule des Etudes et de la Règlementation à la Division des Affaires Juridiques au Ministère des Postes et Télécommunications du Cameroun.