Délibération CNIL du 31 décembre 2021 concernant la société FACEBOOK IRELAND LIMITED
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, Mesdames Christine MAUGÜE et Anne DEBET et Monsieur Alain DRU, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;Vu la décision n° 2021-044C du 6 avril 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements accessibles à partir du domaine » facebook.com » ou portant sur des données à caractère personnel collectées à partir de ce dernier ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 26 juillet 2021 ;
Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié à la société FACEBOOK IRELAND LIMITED le 1er septembre 2021 ;
Vu les observations écrites versées par le conseil de la société FACEBOOK IRELAND LIMITED le 8 octobre 2021 ;
Vu la réponse de la rapporteure à ces observations notifiée à la société FACEBOOK IRELAND LIMITED le 28 octobre 2021 ;
Vu les nouvelles observations écrites versées par le conseil de la société FACEBOOK IRELAND LIMITED, reçues le 21 novembre 2021 ;
Vu le courrier adressé par la société FACEBOOK IRELAND LIMITED au président de la formation restreinte et à la rapporteure le 6 décembre 2021 ;
Vu les observations orales formulées lors de la séance de la formation restreinte ;
Vu les autres pièces du dossier ;
Étaient présentes, lors de la séance de la formation restreinte du 2 décembre 2021 :
– Madame Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants de la société FACEBOOK IRELAND LIMITED :
– […] ;
La société FACEBOOK IRELAND LIMITED ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. Créée en 2004 et ayant son siège social aux Etats-Unis (Menlo Park, Californie), la société FACEBOOK INC., renommée META PLAFORMS INC. depuis le 28 octobre 2021, a développé un réseau social (ci-après » le réseau social Facebook « ), disponible sur le web et sur application mobile, qui permet aux utilisateurs ayant créé un compte de partager leurs expériences et d’échanger. Ce dernier regroupe actuellement plus de 2,5 milliards d’utilisateurs actifs par mois dans le monde.
2. La société META PLAFORMS INC. possède plusieurs dizaines de bureaux implantés dans une trentaine de pays et compte plus de 35 000 salariés à travers le monde. Elle dispose de sa propre régie publicitaire et, depuis sa création, elle a notamment acquis le service de partage de photos Instagram (2012) ainsi que la messagerie instantanée WhatsApp (2014). En 2020, elle a réalisé un chiffre d’affaires de près de 86 milliards de dollars pour un résultat net de plus de 29 milliards de dollars. 98% de ce chiffre d’affaires est généré par les revenus issus de la publicité mise en œuvre dans le cadre de ses produits et services.
3. La société FACEBOOK IRELAND LIMITED (ci-après » FIL « ), sise 4 Grand Canal Square, Grand Canal Harbour à Dublin, en Irlande, se présente comme étant le siège du groupe Facebook pour ses activités dans la région européenne depuis 2008. Filiale de la société META PLAFORMS INC. elle emploie environ […] personnes. En 2019, elle a réalisé un chiffre d’affaires de plus de […] d’euros pour un résultat net de plus de […] d’euros.
4. La société FACEBOOK FRANCE, située au 6 rue Ménars à Paris (75002), est l’établissement de META PLAFORMS INC. en France. Filiale de la société META PLAFORMS INC., elle emploie […] salariés. En 2019, elle a réalisé un chiffre d’affaires de plus de […] d’euros pour un résultat net […] d’euros.
5. Le 8 avril 2021, faisant suite à quatre saisines enregistrées entre octobre 2020 et mars 2021, une délégation de la CNIL a effectué un contrôle en ligne sur le site web » facebook.com » en application de la décision n° 2021-044C du 6 avril 2021 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après » la CNIL » ou » la Commission « ).
6. Cette mission avait pour objet de vérifier le respect, par la société, des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après » la loi » Informatique et Libertés » » ou » loi du 6 janvier 1978 « ), en lien avec les traitements consistant en des opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs résidant en France lors de leur visite sur le site web » facebook.com « .
7. Le 16 avril 2021, la délégation a adressé deux questionnaires aux sociétés FACEBOOK FRANCE et FIL afin notamment de leur faire préciser les finalités des opérations de lecture et/ou d’écriture effectuées à partir du site web » facebook.com » dans le terminal des utilisateurs résidant en France et de leur faire confirmer que la société FIL avait bien la responsabilité de traitement de ces opérations. Les sociétés étaient également invitées à préciser leur organisation, leurs activités et les liens qui les unissent.
8. Ces dernières ont respectivement répondu à ces questionnaires les 21 mai et 11 juin 2021, en confirmant notamment que la société FIL agissait en tant que » responsable du traitement pour les traitements de données à caractère personnel mis en œuvre dans le cadre de la fourniture du service Facebook aux utilisateurs dans la région européenne, en ce compris pour les opérations d’écriture et de lecture de cookies sur le site internet » facebook.com » « .
9. Le 26 juillet 2021, sur le fondement de l’article 22 de la loi du 6 janvier 1978, la présidente de la Commission a désigné Madame Valérie PEUGEOT en qualité de rapporteure aux fins d’instruction de ces éléments.
10. Le 1er septembre 2021, à l’issue de son instruction, la rapporteure a fait notifier à la société FIL un rapport détaillant le manquement à la loi » Informatique et Libertés » qu’elle estimait constitué en l’espèce s’agissant de la liberté du consentement, la société ne mettant notamment pas à disposition des utilisateurs situés en France, sur le site web » facebook.com « , un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage. Était également jointe au rapport une convocation à la séance de la formation restreinte du 2 décembre 2021.
11. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de la société FIL, ainsi qu’une injonction de mettre en conformité le traitement consistant en des opérations de lecture et/ou d’écriture d’informations effectuées à partir du site web » facebook.com » dans le terminal des utilisateurs résidant en France avec les dispositions de l’article 82 de la loi » Informatique et Libertés « , assortie d’une astreinte. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
12. Par courrier du 6 septembre 2021, la société a sollicité un délai complémentaire auprès du président de la formation restreinte pour produire ses observations en réponse au rapport de la rapporteure, qui lui a été accordé le 9 septembre suivant, sur le fondement de l’article 40, alinéa 4, du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi » Informatique et Libertés » (ci-après » le décret du 19 mai 2019 « ).
13. Le 8 octobre 2021, la société a produit des observations en réponse au rapport de la rapporteure.
14. Le 18 octobre 2021, la rapporteure a demandé au président de la formation restreinte un délai supplémentaire pour répondre aux observations de la société, qui lui a été accordé le 21 octobre suivant, ce dont la société a été informée le même jour.
15. Le 28 octobre 2021, la rapporteure a répondu aux observations de la société.
16. Le 29 octobre 2021, la société a sollicité auprès du président de la formation restreinte une extension du délai pour produire ses observations à la réponse de la rapporteure, qui lui a été accordée le 4 novembre suivant.
17. Le 21 novembre 2021, la société a présenté de nouvelles observations en réponse à celles de la rapporteure.
18. Le 29 novembre 2021, la société a formulé la demande que les données expressément identifiées dans ses écritures comme relevant du secret des affaires ne soient pas divulguées au public lors de la séance de la formation restreinte, à laquelle le président de la formation restreinte a fait droit par un courrier du 30 novembre 2021.
19. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte du 2 décembre 2021.
20. Le 6 décembre 2021, la société a adressé au président de la formation restreinte et à la rapporteure des éléments complémentaires rendant compte d’une mise à jour en cours de déploiement sur le site web » facebook.com « .
II. Motifs de la décision
A. Sur la compétence de la CNIL
1. Sur la compétence matérielle de la CNIL et la non-application du mécanisme de » guichet unique » prévu par le RGPD
21. Les dispositions de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques – telle que modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (ci-après la » directive » ePrivacy « ) – qui sont relatives au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, ont été transposées en droit interne à l’article 82 de la loi » Informatique et Libertés « , au sein du chapitre IV » Droits et obligations propres aux traitements dans le secteur des communications électroniques » de cette loi.
22. Aux termes de l’article 16 de la loi » Informatique et Libertés « , » la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi « . Selon l’article 20, paragraphe III, de cette même loi, » lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l’informatique et des libertés […] peut saisir la formation restreinte « .
23. La rapporteure considère que la CNIL est matériellement compétente en application de ces dispositions pour contrôler et, le cas échéant, sanctionner les opérations d’accès ou d’inscription d’informations effectuées par la société dans les terminaux des utilisateurs du réseau social Facebook résidant en France et, plus particulièrement, le fait que la société méconnaisse la liberté du consentement des internautes en ne mettant pas à leur disposition un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal qui présente le même degré de simplicité que celui prévu pour en accepter l’usage.
24. La société conteste cette compétence au motif que le manquement qui lui est reproché ne relèverait pas de la directive » ePrivacy « .
25. Elle avance que, contrairement aux sociétés Google et Amazon qui ont été sanctionnées par la formation restreinte en décembre 2020 pour un manquement à l’interdiction de déposer des cookies sans avoir préalablement recueilli le consentement des personnes (décisions CNIL, formation restreinte, 7 décembre 2020, SAN-2020-012 et SAN-2020-013), il lui est seulement reproché, au titre de la présente procédure, d’avoir violé la règle selon laquelle il doit être aussi simple pour les utilisateurs de refuser le dépôt de cookies que d’y consentir.
26. Or, selon la société, cette règle ne résulterait en tant que telle d’aucune disposition légale ou règlementaire applicable et serait une création de la CNIL, formalisée dans les délibérations du 17 septembre 2020 n° 2020-091 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou d’écriture dans le terminal d’un utilisateur (notamment aux » cookies et autres traceurs « ) et n° 2020-092 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux » cookies et autres traceurs » (ci-après les lignes directrices et recommandation du 17 septembre 2020 « ).
27. La société considère qu’à supposer que cette règle existe réellement, elle ne pourrait matériellement relever que du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le » Règlement » ou le » RGPD « ), comme l’aurait d’ailleurs partiellement reconnu la CNIL dans une communication du 2 avril 2021 mise en ligne sur son site web en indiquant que » la seule présence d’un bouton » Paramétrer » en complément du bouton » Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD « .
28. La société en tire comme conséquence qu’il conviendrait d’appliquer le mécanisme de » guichet unique » prévu au chapitre VII de ce Règlement à la présente procédure. Au titre de ce mécanisme, dès lors que la société FIL, qui a la qualité de responsable du traitement en cause, est établie en Irlande et que son administration centrale est située dans ce pays, l’autorité de contrôle compétente pour connaître des faits qui lui sont reprochés ne serait pas la CNIL mais l’autorité de protection des données irlandaise, la Data Protection Commissionner (ci-après » la DPC « ).
29. En premier lieu, la formation restreinte rappelle qu’il convient d’opérer une distinction entre, d’une part, les opérations consistant à déposer et à lire des cookies dans le terminal d’un utilisateur et, d’autre part, l’utilisation ultérieure qui est faite des données générées par ces cookies, par exemple à des fins de profilage, désignée sous l’expression » traitements subséquents » (dits également » ultérieurs « ).
30. Elle souligne que chacune de ces deux étapes successives est soumise à un régime juridique différent : tandis que les opérations de lecture et/ou d’écriture sont régies par des règles spéciales, fixées par l’article 5, paragraphe 3, de la directive » ePrivacy « , les traitements subséquents relèvent quant à eux du RGPD et, à ce titre, peuvent être soumis au mécanisme de » guichet unique » dans l’hypothèse où ils seraient transfrontaliers.
31. Elle rappelle qu’il ressort des dispositions citées ci-avant que le législateur français a chargé la CNIL de veiller au respect des dispositions de la directive » ePrivacy » transposées à l’article 82 de la loi » Informatique et Libertés « , en lui confiant notamment le pouvoir de sanctionner toute méconnaissance de cet article. Elle souligne que cette compétence a notamment été reconnue par le Conseil d’État dans sa décision Association des agences-conseils en communication du 19 juin 2020 concernant la délibération de la CNIL n° 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou écriture dans le terminal d’un utilisateur. Le Conseil d’État a en effet relevé que » l’article 20 de cette loi confie [au] président [de la CNIL] le pouvoir de prendre les mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d’être prononcées » (CE, 19 juin 2020, req. 434684, pt. 3).
32. En l’espèce, la formation restreinte relève que la présente procédure ne vise que les opérations de lecture et/ou d’écriture mises en œuvre dans le terminal de l’utilisateur situé en France se rendant sur le réseau social Facebook, les constatations matérielles effectuées par la délégation lors du contrôle en ligne du 8 avril 2021 n’ayant porté que sur ces opérations, sans s’intéresser aux traitements subséquents mis en œuvre à partir des données collectées via ces cookies.
33. En deuxième lieu, la formation restreinte rappelle qu’au titre des règles prévoyant l’articulation entre la directive » ePrivacy » et le RGPD, l’article 1er paragraphe 2 de cette directive prévoit que » les dispositions de la présente directive précisent et complètent la directive 95/46/CE » du Parlement européen et du Conseil du 24 octobre 1995 sur la protection des données personnelles [ci-après » la directive 95/46/CE « ]), étant rappelé que, depuis l’entrée en application du Règlement, les références faites à la directive 95/46/CE doivent s’entendre comme faites au RGPD, conformément à l’article 94 de ce dernier.
34. De même, il ressort du considérant 173 du RGPD que ce texte prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel » soumis à des obligations spécifiques ayant le même objectif [de protection des libertés et droits fondamentaux] énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques « .
35. La formation restreinte souligne que cette articulation a été confirmée par la Cour de justice de l’Union européenne (ci-après » la CJUE « ) dans sa décision Planet49 du 1er octobre 2019 (CJUE, grande chambre, 1er octobre 2019, Planet49, C-673/17, pt. 42).
36. Elle rappelle également que la directive » ePrivacy » prévoit, pour les obligations spécifiques qu’elle comporte, son propre mécanisme de mise en œuvre et de contrôle de son application en laissant aux Etats membres, par l’intermédiaire de son article 15 bis, le soin de préciser, dans le cadre de leur loi nationale, le régime des sanctions qu’ils souhaitent mettre en œuvre pour garantir son effectivité.
37. Elle relève en l’occurrence que la règle posée à l’article 5, paragraphe 3, de la directive » ePrivacy « , selon laquelle les opérations de lecture et/ou d’écriture doivent systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information, constitue une obligation spécifique puisqu’elle interdit à un acteur de se prévaloir des bases légales mentionnées à l’article 6 du RGPD pour pouvoir licitement procéder à ces opérations de lecture et/ou d’écriture dans le terminal. Il en résulte que la violation de cette règle relève du mécanisme spécial de contrôle et de sanction prévu par la directive » ePrivacy » et non de celui prévu par le RGPD.
38. La formation restreinte note d’ailleurs que le CEPD a, dans son avis n° 5/2019 du 12 mars 2019 relatif aux interactions entre la directive » vie privée et communications électroniques » et le RGPD, explicitement exclu l’application du mécanisme de » guichet unique » à des faits relevant matériellement de la directive » ePrivacy » en ces termes : » conformément au chapitre VII du RGPD, les mécanismes de coopération et de cohérence dont disposent les autorités de protection des données au titre du RGPD concernent le contrôle de l’application des dispositions du RGPD. Les mécanismes du RGPD ne s’appliquent pas au contrôle de l’application des dispositions de la directive » vie privée et communications électroniques » en tant que telle » (CEPD, avis 5/2019, 12 mars 2019, pt. 80).
39. Elle relève de surcroît que la CJUE, dans un arrêt Facebook Belgium rendu le 15 juin 2021, a repris l’avis 5/2019 du CEPD précité, tout en suivant sur ce point les conclusions de son avocat général, M. BOBEK, lequel estimait qu’ » afin de décider si une affaire relève effectivement du champ d’application matériel du RGPD, une juridiction nationale, y compris toute juridiction de renvoi, est tenue de rechercher la source précise de l’obligation légale pesant sur un opérateur économique dont il est allégué qu’il l’a enfreinte. Si la source de cette obligation n’est pas le RGPD, les procédures établies par cet instrument, qui sont liées à son objectif principal, ne sont logiquement pas non plus applicables » (CJUE, conclusions de l’avocat général M. BOBEK, 13 janvier 2021, Facebook Belgium, C 645/19, pts. 37 et 38).
40. En l’occurrence, la formation restreinte relève que, dans la présente procédure, la source précise de l’obligation légale objet du contrôle trouve sa seule origine dans l’obligation spécifique posée à l’article 5, paragraphe 3, de la directive » ePrivacy « , transposé en droit français à l’article 82 de la loi » Informatique et Libertés « .
41. En troisième lieu, s’agissant de la portée à donner à cette obligation spécifique, la formation restreinte rappelle que les opérations de lecture et/ou d’écriture dans le terminal de l’utilisateur doivent systématiquement faire l’objet du » consentement préalable » de l’utilisateur. Elle souligne qu’en vertu de l’article 2, paragraphe f) de la directive » ePrivacy « , le consentement doit s’entendre au sens de » consentement de la personne concernée » figurant dans la directive 95/46/CE. Or, dans la mesure où, comme déjà évoqué, depuis l’entrée en application du Règlement les références faites à la directive 95/46/CE doivent s’entendre comme faites au RGPD, il en résulte que le » consentement » prévu à l’article 5, paragraphe 3, de la directive » ePrivacy » tel que transposé à l’article 82 de la loi » Informatique et Libertés » doit désormais s’entendre au sens du RGPD.
42. A cet égard, la formation restreinte relève que le consentement au sens du RGPD pose plus d’exigences en la matière que ce que prévoyait l’article 2, h) de la directive 95/46/CE. Notamment, au titre de ces nouvelles exigences, l’article 4, paragraphe 11 du RGPD requiert que le consentement soit désormais univoque, ce qui implique qu’il soit donné par un » acte positif clair » et le considérant 42 du RGPD renforce son caractère libre, en précisant que la personne doit désormais disposer d’une » véritable liberté de choix » au moment de consentir.
43. En ce qui concerne les opérations de lecture et/ou d’écriture d’informations, ce renforcement du caractère libre du consentement implique que les modalités qui sont proposées à l’utilisateur pour manifester son choix soient telles qu’elles ne l’incitent pas plus à accepter les cookies qu’à les refuser.
44. La formation restreinte remarque que c’est dans ce sens qu’il convient de comprendre la communication de la CNIL du 2 avril 2021 publiée sur son site web et dénoncée par la société. En effet, en écrivant que » la seule présence d’un bouton » Paramétrer » en complément du bouton » Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD « , la CNIL a seulement voulu souligner le renforcement des exigences relatives au recueil du consentement de l’utilisateur avant toute opération de lecture et/ou d’écriture d’informations dans son terminal engendré par l’entrée en application du RGPD.
45. La formation restreinte souligne néanmoins que si le RGPD étaye bien les conditions du consentement, le respect des dispositions spéciales issues de la directive » ePrivacy » qui imposent ce consentement, désormais renforcé, de l’utilisateur avant toute opération de lecture et/ou d’écriture dans son terminal continue de relever, en vertu de l’adage specialia generalibus derogant, de la règle spéciale posée par l’article 5, paragraphe 3, de la directive » ePrivacy » et, partant, du mécanisme spécial de contrôle et de sanction prévu à l’article 15 bis de cette même directive.
46. Ainsi, le simple renvoi au RGPD qu’opèrent les dispositions de la directive » ePrivacy » sur la définition du consentement ne suffit pas à attraire avec lui l’applicabilité du mécanisme de » guichet unique » aux faits de l’espèce.
47. En quatrième lieu, la formation restreinte observe qu’il serait en tout état de cause matériellement impossible en l’état actuel du droit d’appliquer le mécanisme de » guichet unique » à des faits relevant de la directive » ePrivacy » et que cette position fait par ailleurs l’objet d’un consensus au niveau européen.
48. En effet, les États membres, qui sont libres de déterminer l’autorité nationale compétente pour connaître des violations des dispositions nationales prises en application de la directive » ePrivacy « , peuvent avoir attribué cette compétence à une autorité autre que leur autorité nationale de protection des données instituée par le RGPD, en l’occurrence à leur autorité de régulation des télécommunications. Dès lors, dans la mesure où ces dernières autorités ne font pas partie du CEPD, alors que ce comité joue une fonction incontournable dans le mécanisme de contrôle de la cohérence mis en œuvre au chapitre VII du RGPD, il est de fait impossible d’appliquer le » guichet unique » à des pratiques susceptibles d’être sanctionnées par des autorités de contrôle nationales ne siégeant pas au sein de ce comité.
49. La formation restreinte souligne également que d’autres autorités nationales de protection des données ont également déjà prononcé des sanctions portant sur des manquements relatifs aux opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs. L’autorité espagnole a ainsi rendu plusieurs décisions de sanction à l’encontre de différents responsables de traitement en application exclusive des dispositions nationales transposant la directive » ePrivacy « , en l’occurrence l’article 22, paragraphe 2 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico, sans que soit mise en œuvre la procédure de coopération instituée par le RGPD.
50. Enfin, la formation restreinte note que la question d’une éventuelle future application du mécanisme de » guichet unique » aux traitements aujourd’hui encadrés par l’actuelle directive » ePrivacy » fait l’objet de nombreuses discussions dans le cadre de l’élaboration du projet de règlement » ePrivacy » en cours de négociation depuis plus de quatre ans au niveau européen. L’existence même de ces débats confirme qu’en l’état le mécanisme de » guichet unique » prévu par le RGPD n’est pas applicable aux matières régies par l’actuelle directive » ePrivacy « .
51. Il résulte de ce qui précède que le mécanisme de » guichet unique » prévu par le RGPD n’est pas applicable à la présente procédure et que la CNIL est compétente pour contrôler et engager une procédure de sanction contre le traitement mis en œuvre par la société consistant en des opérations de lecture et/ou d’écriture d’informations effectuées à partir du site web » facebook.com » dans le terminal des utilisateurs résidant en France relevant du champ d’application de la directive » ePrivacy « , sous réserve que ce traitement se rattache à sa compétence territoriale.
2. Sur la compétence territoriale de la CNIL
52. La règle d’application territoriale des exigences fixées à l’article 82 de la loi » Informatique et Libertés » est précisée à l’article 3, paragraphe I, de cette loi, lequel dispose : » sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement (…) sur le territoire français, que le traitement ait lieu ou non en France « .
53. La rapporteure considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations d’accès et/ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social Facebook, notamment à des fins publicitaires, est effectué dans le » cadre des activités » de la société FACEBOOK FRANCE, qui constitue » l’établissement » sur le territoire français du groupe Facebook.
54. La société soutient que dans la mesure où il conviendrait de faire application des règles de compétence et des procédures de coopération définies par le RGPD, la CNIL ne disposerait pas de la compétence territoriale pour connaître de cette affaire étant donné que le » siège réel » du groupe Facebook en Europe, soit le lieu de son administration centrale au sens de l’article 56 du RGPD, est situé en Irlande.
55. La formation restreinte relève que pour déterminer si la CNIL dispose d’une compétence pour contrôler le respect, par la société FIL, des exigences prévues à l’article 82 de la loi » Informatique et Libertés » dans le cadre du traitement en cause, il convient d’examiner en l’occurrence si les deux critères d’application territoriale de la loi » informatiques et libertés « , prévus au paragraphe I de son article 3, sont réunis : à savoir, d’une part, si Facebook dispose d’un » établissement sur le territoire français » et si, d’autre part, le traitement en cause est effectué » dans le cadre des activités de cet établissement « .
56. La formation restreinte rappelle en ce sens que la directive » ePrivacy » ne fixe pas elle-même explicitement la règle d’application territoriale des différentes lois de transposition adoptées par chaque Etat membre. Cependant, cette directive indique qu’elle » précise et complète la directive 95/46.CE « , laquelle prévoyait à l’époque, à son article 4, que » chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable « .
57. Si cette règle de détermination de la loi nationale applicable au sein de l’Union n’a plus lieu d’être pour l’application des règles du RGPD, qui a remplacé la directive 95/46/CE et s’applique uniformément sur tout le territoire de l’Union, la formation restreinte relève que le législateur français a maintenu ces deux critères d’application territoriale pour les règles spécifiques contenues dans la loi » Informatique et Libertés « , notamment celles qui transposent la directive » ePrivacy « . Il en résulte, comme il sera développé infra, que la jurisprudence de la CJUE sur l’application de l’article 4 de la directive 95/46/CE demeure pertinente pour éclairer la portée à donner à ces deux critères.
58. En premier lieu, sur l’existence d’un établissement de Facebook sur le territoire français, la formation restreinte rappelle que, de façon constante, la CJUE a considéré que la notion » dans le cadre des activités d’un établissement » ne saurait recevoir une interprétation restrictive en droit de la protection des données et, que pour savoir si un responsable de traitement disposait d’un » établissement » il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question (cf. notamment, CJUE, 1er octobre 2015, Weltimmo, C 230/14, pts. 25 à 31).
59. La Cour a notamment précisé que » la notion d’ »établissement « , au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable » (idem, pt. 30), le critère de stabilité de l’installation étant examiné au regard de la présence de » moyens humains et techniques nécessaires à la fourniture de services concrets en question » (idem, pt. 31). La Cour a estimé, en outre, qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).
60. En l’occurrence, la société FACEBOOK FRANCE, immatriculée en France depuis le 3 février 2011, est le siège de la filiale française de la société META PLAFORMS INC. Elle dispose de locaux situés à Paris et emploie environ […] personnes. Il est précisé dans les statuts de cette société, mis à jour et déposés auprès du greffe du tribunal de commerce de Paris le 9 juillet 2020, qu’elle a notamment pour objet » toute activité relative, directement ou indirectement, à l’achat, la vente ou l’intermédiation d’espaces publicitaires sur la Plateforme de réseau social en ligne Facebook ou tout autre plateforme opérée par le groupe Facebook, ou tout autre accord commercial, dans son sens le plus étendu, relatif à l’espace publicitaire en ligne et notamment, sans que cette liste soit limitative, l’offre d’achat, de vente ou de fournir de l’espace publicitaire en ligne, la négociation de contrats concernant l’espace publicitaire en ligne, la mise en œuvre de stratégies marketing relatives à des offres de vente d’espaces publicitaires et tout autre service de publicité pouvant être fournis à des annonceurs, des agences publicitaires ou tout autre tiers « .
61. En ce qui concerne les liens de cette société avec la société FIL, la formation restreinte relève qu’elles sont toutes deux des filiales de la maison-mère du groupe, la société META PLAFORMS INC., et qu’elles sont notamment liées l’une à l’autre par un contrat de revente d’espaces publicitaires et par un contrat de prestation de services, en vigueur depuis le 1er juillet 2018.
62. A cet égard, la formation restreinte remarque que si, dans sa réponse du 21 mai 2021, la société FACEBOOK FRANCE a déclaré que » par principe, FIL est la société contractante pour les annonceurs et partenaires en France souhaitant utiliser les produits et services publicitaires de Facebook » (…) pour la création, la soumission ou la diffusion de publicités ou toute autre activité ou tout autre contenu commercial ou sponsorisé » (…) « , elle affirme également très clairement que son rôle consiste en » la fourniture d’un support local aux annonceurs et partenaires en France et à la passation des commandes et la facturation de certains clients « .
63. Notamment, la formation restreinte relève qu’au titre du contrat de prestation de services, la société FACEBOOK FRANCE fournit à titre non exclusif de nombreux services à la société FIL, dont des services généraux, administratifs, de ressources humaines, comptables, juridiques, politiques, marketing et de gestion des partenariats.
64. Dès lors, au regard de la nature de ces services, la formation restreinte considère que la société FACEBOOK FRANCE doit être regardée comme l’établissement en France de la société FIL.
65. En second lieu, sur l’existence d’un traitement effectué » dans le cadre des activités » de la société FACEBOOK FRANCE, la formation restreinte rappelle que dans ses décisions Wirtschaftsakademie (CJUE, grande chambre, 5 juin 2018, Wirtschaftsakademie, C-210/16, pts. 56 à 60) et Facebook Belgium (CJUE, grande chambre, 15 juin 2021, Facebook Belgium, C-645/19, pts. 92 à 95), qui s’inscrivent dans la lignée de la jurisprudence Google Spain du 13 mai 2014 relative aux activités du moteur de recherche Google en Espagne (CJUE, grande chambre, 13 mai 2014, Google Spain, C-131/12, pt. 55), la Cour de justice a considéré que le traitement consistant en la collecte de données à caractère personnel par l’intermédiaire de cookies déposés dans les terminaux des utilisateurs visitant, en Allemagne et en Belgique, des pages hébergées sur le réseau social Facebook était respectivement effectué » dans le cadre des activités » des sociétés FACEBOOK GERMANY et FACEBOOK BELGIUM, établissements allemand et belge du groupe Facebook, dans la mesure où ces établissements sont destinés à assurer, dans leur pays respectif, la promotion et la vente des espaces publicitaires proposés par ce réseau social, qui servent à rentabiliser le service offert par Facebook.
66. Ainsi, dans l’arrêt Facebook Belgium, la Cour de justice a relevé » d’une part, un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité qui y est diffusée et que l’activité exercée par l’établissement situé en Belgique est destinée à assurer, dans cet État membre, même si ce n’est que de manière accessoire, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services Facebook. D’autre part, l’activité exercée à titre principal par Facebook Belgium, consistant à entretenir des relations avec les institutions de l’Union et à constituer un point de contact avec ces dernières, vise notamment à établir la politique de traitement des données à caractère personnel par Facebook Ireland. Dans ces conditions, les activités de l’établissement du groupe Facebook situé en Belgique doivent être considérées comme étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union » (pts. 94-95).
67. Même si ces trois arrêts concernaient plus spécialement les traitements subséquents mis en œuvre à partir des cookies déposés dans les terminaux des utilisateurs – ce qui justifiait l’application de la directive 95/46/CE pour les affaires Google Spain et Wirtschaftsakademie et du RGPD pour l’affaire Facebook Belgium – cette jurisprudence demeure pertinente pour éclairer la portée à donner à la notion de traitement effectué » dans le cadre des activités » d’un établissement, le législateur français l’ayant reprise, lors de la transposition de la directive » ePrivacy « , pour fonder la compétence territoriale de la CNIL s’agissant des traitements relevant de cette directive.
68. En l’espèce, la formation restreinte relève que les analyses conduites en Allemagne et en Belgique par les autorités de protection des données allemande et belge s’agissant des sociétés FACEBOOK GERMANY et FACEBOOK BELGIUM, et confirmées par la CJUE, peuvent être reproduites en France par la CNIL s’agissant de la société FACEBOOK FRANCE.
69. En effet, il ressort de la réponse de la société FACEBOOK FRANCE du 21 mai 2021 que ses activités consistent à fournir des » services de support publicitaire à des annonceurs et partenaires en France pour le compte de FIL « . Plus précisément, » elle informe les annonceurs et partenaires en France sur l’utilisation qu’ils peuvent faire des services publicitaires de Facebook proposés par FIL. A titre d’illustration, FB France fournit des conseils sur la manière d’utiliser les outils et les fonctionnalités des produits Facebook afin d’optimiser les budgets publicitaires ou d’améliorer la qualité des campagnes publicitaires « . Enfin, » depuis le 1er juillet 2018, [elle] interagit également avec certains annonceurs et partenaires en France, pour ce qui concerne la passation de leurs commandes et la facturation liées à la revente d’espaces publicitaires à leur bénéfice « .
70. En conséquence, la formation restreinte considère que le traitement en cause – consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social Facebook, notamment à des fins publicitaires – est effectué » dans le cadre des activités de FACEBOOK FRANCE « , société qui est » l’établissement de Facebook sur le territoire français » et participe, à ce titre, à la promotion et à la commercialisation des produits Facebook et de leurs solutions publicitaires en France. Les deux critères prévus à l’article 3, paragraphe I, de la loi » Informatique et Libertés » étant réunis, le traitement est soumis au droit français.
71. La formation restreinte souligne que l’application du droit français ne concerne que les opérations de lecture et/ou d’écriture qui sont effectuées sur le territoire français (l’article 4 de la directive 95/46/CE précisait d’ailleurs que la loi de l’Etat membre ne s’appliquait qu’aux activités de l’établissement » sur le territoire de l’Etat membre « ).
72. Elle relève enfin qu’il s’agit d’une position constante de sa part depuis l’intervention de la jurisprudence Google Spain en 2014 (cf. notamment les décisions CNIL, formation restreinte, 27 avril 2017, SAN-2017-006 ; CNIL, formation restreinte, 19 décembre 2018, SAN-2018-011 ; CNIL, formation restreinte, 7 décembre 2021, SAN-2020-012 et CNIL, formation restreinte, 7 décembre 2021, SAN-2020-013).
73. Il résulte de ce qui précède que le droit français est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction concernant le traitement en cause qui relève du champ d’application de la directive » ePrivacy « .
B. Sur le grief tiré de l’illégalité de la présente procédure de sanction
74. La société dénonce le fait de n’avoir pas bénéficié d’une mise en demeure préalable, à l’instar de la soixantaine d’acteurs ayant fait l’objet de cette mesure correctrice entre mai et juillet 2021 pour des faits similaires, et invoque l’atteinte au principe d’égalité devant la loi qui en résulterait.
75. Elle soutient que ce principe serait également méconnu en raison de la sévérité des mesures correctrices proposées par la rapporteure en comparaison des récentes décisions de la formation restreinte prononcées à l’encontre d’acteurs importants pour non-respect des dispositions de l’article 82 de la loi » Informatique et Libertés » (cf. décisions CNIL, formation restreinte, 18 novembre 2020, SAN-2020-009, Carrefour Banque ; 7 décembre 2020, SAN-2020-012, Amazon et SAN-2020-013, Google ; 27 juillet 2021, SAN-2021-013, Le Figaro).
76. S’agissant d’abord du défaut de mise en demeure préalable, la formation restreinte relève qu’en vertu de l’article 20, paragraphe III, de la loi » Informatique et Libertés » l’orientation d’un dossier vers une procédure de sanction appartient au seul président de la CNIL, de sorte que la formation restreinte, n’a pas à se prononcer sur le principe de sa saisine.
77. Elle rappelle également qu’il résulte de ces dispositions que le président de la CNIL n’est pas tenu d’adresser une mise en demeure à un responsable de traitement avant d’engager une procédure de sanction à son encontre. Elle ajoute que la possibilité d’engager directement une procédure de sanction a été confirmée par le Conseil d’État (voir, notamment, CE, 4 nov. 2020, n° 433311, pt. 3).
78. Au demeurant, la formation restreinte remarque qu’une mise en demeure préalable se justifiait d’autant moins en l’espèce que la société a déjà, à la suite d’une mise en demeure préalable, fait l’objet d’une sanction de la part de la formation restreinte pour des manquements relatifs aux cookies en 2017. La société se devait donc d’être à la fois particulièrement vigilante quant au respect de ses obligations en matière de cookies et également attentive aux évolutions de la réglementation en la matière, notamment à la suite du renforcement des conditions du consentement consécutif à l’entrée en application du RGPD.
79. La formation restreinte relève, enfin, que la CNIL a particulièrement communiqué sur ces évolutions, notamment en définissant un plan d’action relatif aux cookies dont les modalités ont été détaillées dès 2019 dans un communiqué de presse diffusé sur son site web le 28 juin 2019. La CNIL y précisait notamment qu’elle laisserait une » période transitoire » aux responsables de traitement afin qu’ils disposent du temps nécessaire à la mise en conformité de leurs opérations de lecture et/ou d’écriture aux nouvelles exigences consécutives à l’entrée en application du RGPD et qui seraient consacrées dans la nouvelle recommandation qui allait être rédigée. Elle soulignait déjà qu’elle procéderait à des vérifications du respect de cette future recommandation dans les six mois suivant son adoption définitive. Prorogée une fois, cette période d’adaptation est arrivée à son terme le 1er avril 2021.
80. S’agissant, ensuite, du montant de l’amende proposé par la rapporteure, celui-ci n’a pas d’incidence sur la légalité de la procédure.
81. En conséquence, la formation restreinte estime que le grief tiré de l’illégalité de la procédure doit être écarté.
C. Sur le manquement aux obligations en matière de cookies
82. Aux termes de l’article 82 de la loi » Informatique et Libertés « , qui transpose en droit français les dispositions de l’article 5, paragraphe 3, de la directive » ePrivacy « , » tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement (…) « .
83. En vertu de l’article 2, paragraphe f) de la directive » ePrivacy « , le consentement doit s’entendre au sens de » consentement de la personne concernée » figurant dans la directive 95/46/CE. Aux termes de l’article 94 du RGPD » les références faites à la directive abrogée doivent s’entendre comme faites au [RGPD] « .
84. Au titre de l’article 4, paragraphe 11, du RGPD, pour être valablement recueilli, le consentement doit être une » manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair « .
85. La portée de cet article est éclairée par le considérant 42 du RGPD, selon lequel » le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice « .
86. En l’espèce, la délégation a constaté dans le cadre du contrôle en ligne du 8 avril 2021 que, lorsqu’un utilisateur se rend sur le réseau social Facebook, une fenêtre surgissante dont le titre est » Accepter les cookies de Facebook dans ce navigateur » apparaît et, qu’au bas de cette fenêtre, figurent deux boutons intitulés » Gérer les paramètres de données » et » Tout accepter « . Il a également été constaté qu’à ce stade aucun cookie n’était déposé dans le terminal de l’utilisateur et que ce dernier était obligé de cliquer sur l’un de ces deux boutons pour pouvoir poursuivre sa navigation sur le réseau social.
87. Ainsi, lorsque l’utilisateur clique sur le bouton » Tout accepter » figurant au bas de cette première fenêtre et donne par cette action son consentement à la lecture et/ou à l’écriture d’informations dans son terminal, la fenêtre disparaît, ce qui lui permet de poursuivre la navigation sur le réseau social.
88. Lorsque l’utilisateur clique sur le bouton » Gérer les paramètres de données « , une nouvelle fenêtre surgissante apparaît, comprenant les deux finalités principales poursuivies par les cookies soumis à consentement – la publicité personnalisée effectuée par Facebook et la publicité personnalisée effectuée par des tiers – et à côté desquelles se trouvent des boutons glissants, désactivés par défaut.
89. La délégation a constaté que lorsque l’utilisateur fait défiler cette seconde fenêtre, laisse les deux boutons glissants désactivés, puis clique sur le bouton » Accepter les cookies » figurant au bas de cette fenêtre, cette dernière disparaît, ce qui lui permet de poursuivre sa navigation sur le réseau social sans que des cookies publicitaires aient été déposés dans son terminal.
90. Au regard de ces constatations, la rapporteure estime que la société a commis un manquement à l’article 82 de la loi » Informatique et Libertés « , tel qu’éclairé par les exigences renforcées en matière de consentement posées par le RGPD, dès lors qu’elle ne met pas à disposition des utilisateurs résidant en France, sur le site web » facebook.com « , un moyen de consentir librement en refusant les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage. La rapporteure estime, en outre, que l’information fournie à l’utilisateur ne lui permet par ailleurs pas de comprendre clairement qu’il peut refuser les cookies.
91. Elle relève également à titre d’éclairage qu’aux termes de ses lignes directrices 5/2020 sur le consentement au sens du Règlement (UE) 2016/679, adoptées le 4 mai 2020, le CEPD a rappelé que » l’adjectif » libre » implique un choix et un contrôle réel pour les personnes concernées » (§13).
92. De même, dans le cadre de sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux » cookies et autres traceurs « , la Commission a considéré, compte tenu des textes applicables précités, que » le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité « .
93. La société fait valoir que ni la directive » ePrivacy « , ni sa transposition en droit français à l’article 82 de la loi » Informatique et Libertés » ne prévoient la règle selon laquelle il doit être aussi facile de refuser les cookies que de les accepter. Elle ajoute que cette règle n’est pas non plus prévue par le RGPD, dont l’article 7, paragraphe 3, n’introduit qu’une obligation relative au retrait du consentement, qui ne s’étend pas au refus initial de consentir aux cookies.
94. Elle avance que les lignes directrices et la recommandation du 17 septembre 2020 de la CNIL n’ont pas valeur impérative et ne renvoient en tout état de cause à aucune disposition contraignante du RGPD ou de la directive » ePrivacy » lorsqu’elles évoquent cette règle qui, dans ces deux instruments de la CNIL, figure d’ailleurs sous des titres relatifs au refus du consentement et non à la liberté du consentement.
95. Enfin, elle soutient que son parcours informationnel est conforme aux règles applicables dès lors qu’elle fournit bien, dès la première fenêtre, une information relative au paramétrage des cookies et qu’un utilisateur distrait parvenu à la seconde fenêtre permettant ce paramétrage, qui cliquerait sur le bouton » Accepter les cookies » figurant au bas de cette seconde fenêtre, ne verrait aucun cookie publicitaire déposé dans son terminal.
96. En premier lieu, en ce qui concerne les modalités du refus, la formation restreinte renvoie aux dispositions rappelées aux points 41 à 43 et aux points 82 et suivants de la présente délibération. Elle estime que, pour garantir la liberté du consentement, il devrait en l’espèce être aussi facile de refuser les cookies que de les accepter. Elle souligne que le CEPD éclaire ce point dans ses lignes directrices sur le consentement adoptées le 4 mai 2020 en précisant que » l’adjectif » libre » implique un choix et un contrôle réel pour les personnes concernées « .
97. En appliquant cette exigence de liberté du consentement aux cookies, elle estime que rendre le mécanisme de refus plus complexe que celui permettant de les accepter, par exemple en reléguant au sein d’une deuxième fenêtre le bouton permettant de les refuser, revient généralement, dans le contexte de la navigation sur le web, en réalité à altérer la liberté de choix des utilisateurs en les incitant à privilégier l’acceptation de ces cookies plutôt que leur refus.
98. Elle relève que cette conclusion est notamment corroborée par une étude universitaire intitulée » Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence » ( » Les ‘dark patterns’ au temps du RGPD : récupération des fenêtres de consentement et démonstration de leur influence « ) conduite en 2020 à partir de différents bandeaux cookies proposés à un panel d’utilisateurs. Dans cette étude, des chercheurs provenant notamment des universités de Cambridge et du MIT ont démontré que 93,1% des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser. Cette étude démontrait également que le fait de reléguer le bouton du refus au second niveau augmentait en moyenne de 23,1 points de pourcentage le taux de consentement aux cookies.
99. Elle rappelle également que, pour tenir compte de l’évolution induite par l’entrée en application du RGPD et notamment pour éclairer la portée à donner à la règle contestée dans la présente procédure, la CNIL a fait évoluer sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs (ci-après » la recommandation du 5 décembre 2013 « ).
100. Cette évolution s’est traduite d’abord par l’adoption de la délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou d’écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (ci-après » les lignes directrices du 4 juillet 2019), qui prévoyait déjà en son article 2, » qu’il doit être aussi facile de refuser ou de retirer son consentement que de le donner « , puis par celle des lignes directrices et la recommandation du 17 septembre 2020, qui ont respectivement abrogé les lignes directrices du 4 juillet 2019 et la recommandation du 5 décembre 2013.
101. La formation restreinte souligne que les deux instruments adoptés en 2020 visent à interpréter les dispositions législatives et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin qu’ils mettent en œuvre ces mesures ou des mesures d’effet équivalent, sans toutefois prévoir de nouvelles obligations légales. Elle relève que les lignes directrices du 17 septembre 2020 précisent qu’elles » ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations […] dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion (ci-après » cookies « ) « .
102. Elle remarque que l’article 2 des lignes directrices du 17 septembre 2020 et l’article 2.4 de la recommandation du 17 septembre 2020 sont très claires, cette dernière rappelant que » le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité « .
103. Elle souligne que si, par souci de pédagogie, ces précisions figurent dans ces deux instruments sous des titres qui évoquent son contenu plutôt que la source juridique dont elle procède ( » S’agissant des modalités du refus » pour la recommandation du 17 septembre 2020, » Sur le refus et le retrait du consentement » pour les lignes directrices du 17 septembre 2020), c’est bien l’exigence de liberté du consentement posée par le RGPD qui implique, s’agissant du dépôt de cookies, que les modalités proposées à l’utilisateur pour manifester ce choix soient telles qu’elles ne l’incitent pas plus à accepter les cookies qu’à les refuser.
104. La formation restreinte relève d’ailleurs que le Conseil d’État a déjà eu l’occasion de se prononcer sur cette question dans sa décision Association des agences-conseils en communication, dans laquelle il examinait les lignes directrices du 4 juillet 2019. Il a ainsi jugé que : » la CNIL qui, en indiquant qu’il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s’est bornée à caractériser les conditions du refus de l’utilisateur, sans définir de modalités techniques particulières d’expression d’un tel refus, n’a entaché sa délibération d’aucune méconnaissance des règles applicables en la matière » (CE, 19 juin 2020, n° 434684, T., pt 15).
105. Elle remarque que ce considérant doit être lu à l’aune des conclusions du rapporteur public sur cet arrêt, lequel relevait : » Comme l’indique la CNIL, les lignes directrices attaquées n’imposent aucune modalité technique de recueil de ce refus. Elles se bornent à exiger, de manière générale et à juste titre, qu’il ne soit pas plus compliqué de refuser que d’accepter » (CE, conclusions du rapporteur public sur l’arrêt n° 434684, p. 17).
106. Enfin, elle souligne que dans les lignes directrices et dans la recommandation du 17 septembre 2020, la CNIL n’impose pas nécessairement l’insertion d’un bouton » Tout refuser « , mais rappelle l’importance de mettre en place une alternative simple permettant à l’utilisateur de refuser les cookies aussi simplement que de les accepter, en donnant des exemples de formulation et de modalités qui peuvent être utilisées par les organismes afin que la liberté du consentement des utilisateurs soit véritablement respectée.
107. Ainsi, au titre de la recommandation du 17 septembre 2020, la CNIL propose : » Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement » tout accepter » et » tout refuser « , » autoriser » et » interdire « , ou » consentir » et » ne pas consentir « , ou toute autre formulation équivalente et suffisamment claire. La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement. L’expression du refus de consentir peut toutefois découler d’autres types d’actions que celle consistant à cliquer sur l’un des boutons décrits ci-dessus. En tout état de cause, la Commission rappelle que les modalités permettant aux utilisateurs de consentir ou de refuser doivent être présentées de façon claire et compréhensible. En particulier, lorsque le refus peut être manifesté par la simple fermeture de la fenêtre de recueil du consentement ou encore par l’absence d’interaction avec celle-ci pendant un certain laps de temps, cette possibilité doit être clairement indiquée aux utilisateurs sur cette fenêtre. En effet, à défaut, l’utilisateur serait susceptible de ne pas comprendre que ces actions conduisent à ce qu’aucune opération de lecture ou d’écriture soumise au consentement ne peut avoir légalement lieu. Un design et une information appropriés devraient lui permettre de bien comprendre les options qui s’offrent à lui « .
108. En l’espèce, la formation restreinte rappelle que, tel qu’il ressort des constations effectuées lors du contrôle en ligne du 8 avril 2021, lorsqu’un utilisateur résidant en France se rend sur le site web » facebook.com « , il peut accepter le dépôt de cookies publicitaires en une seule action, en cliquant sur le bouton intitulé » Accepter les cookies » figurant sur la première fenêtre.
109. Elle relève qu’en revanche, pour refuser ces cookies, l’utilisateur devra effectuer pas moins de trois actions : d’abord cliquer sur le bouton intitulé » Gérer les paramètres de données » situé au-dessus du bouton » Accepter les cookies » de la première fenêtre, faire défiler l’intégralité du contenu de la seconde fenêtre, notamment pour constater que les deux boutons glissants commandant le dépôt de cookies publicitaires sont désactivés par défaut, et enfin cliquer sur le bouton » Tout accepter » situé au bas de cette seconde fenêtre.
110. En l’occurrence et comme elle l’a déjà évoqué, la formation restreinte considère que le fait, pour la société, de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton » Accepter les cookies « . En effet, un utilisateur du web est généralement conduit à consulter de nombreux sites. La navigation sur le web se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur » Gérer les paramètres de données » et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Il n’est pas contesté qu’en l’espèce, la société offre un choix entre l’acceptation ou le refus des cookies, mais les modalités par lesquelles ce refus peut être exprimé, dans le contexte de la navigation sur le web, biaise l’expression du choix en faveur du consentement de façon à altérer la liberté de choix.
111. En second lieu, en ce qui concerne l’information fournie, la formation restreinte rappelle qu’au titre de l’article 82 de la loi » Informatique et Libertés « , l’utilisateur doit notamment être informé, avant de consentir aux cookies, » des moyens dont il dispose pour s’y opposer « , c’est-à-dire pour les refuser, et que l’information fournie doit être » claire et complète « . Elle souligne que ces dispositions doivent se lire à la lumière du considérant 66 de la directive modificative 2009/136/CE » ePrivacy » qui prévoit que » les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles « .
112. Elle souligne que, dans le cadre de sa recommandation du 17 septembre 2020, la Commission a pris soin de préciser que cette exigence d’une information » claire et complète » devait s’interpréter de telle façon que » l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir « .
113. En l’espèce, elle rappelle qu’il ressort du contrôle en ligne du 8 avril 2021 qu’une fois arrivé sur le site web » facebook.com « , l’utilisateur doit, pour refuser le dépôt de cookies publicitaires, d’abord cliquer sur le bouton » Gérer les paramètres de données » de la première fenêtre, faire défiler l’intégralité de la seconde fenêtre surgissante en laissant les deux boutons glissants désactivés pour ne pas accepter les cookies, puis cliquer sur le bouton » Accepter les cookies » figurant au bas de cette seconde fenêtre.
114. Si, comme la société le fait valoir en défense, la formation restreinte reconnaît qu’un utilisateur distrait qui cliquerait sur le bouton » Accepter les cookies » figurant au bas de la seconde fenêtre ne verrait aucun cookie publicitaire déposé dans son terminal dès lors que les boutons glissants permettant d’activer le dépôt de ces cookies sont désactivés par défaut, elle relève qu’il est particulièrement contre-intuitif de devoir cliquer sur un bouton intitulé » Accepter les cookies » pour en réalité refuser leur dépôt.
115. La formation restreinte considère que ces modalités incitent plutôt l’utilisateur à penser qu’il n’est finalement pas possible de poursuivre sa navigation en ayant refusé le dépôt de cookies publicitaires puisque tout le parcours de refus des cookies repose sur une information renvoyant à l’acceptation des cookies.
116. Elle relève que ce sentiment ne peut être qu’accentué par le caractère peu explicite du bouton » Gérer les paramètres de données » proposé dans le cadre de la première fenêtre, qui ne mentionne pas clairement l’existence de moyens permettant de refuser les cookies.
117. Elle estime que le fait qu’in fine les cookies ne soient pas déposés est sans incidence sur la confusion générée par ce parcours informationnel contradictoire qui peut donner à l’utilisateur le sentiment qu’il n’est pas possible de refuser le dépôt de cookies et qu’il ne dispose pas de modalités de contrôle à cet égard.
118. Au vu de ces éléments, la formation restreinte considère que l’information fournie aux utilisateurs résidant en France se rendant sur la page » facebook.com » ainsi que les modalités de recueil de consentement qui leur sont proposées par la société sur ce site web ne sont pas conformes aux dispositions de l’article 82 de la loi » Informatique et Libertés » telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD.
III. Sur le prononcé de mesures correctrices et la publicité
119. L’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit que : » lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]
7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83. «
L’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi » Informatique et Libertés « , prévoit quant à lui que » Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives « , avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
A. Sur le prononcé d’une amende administrative et son montant
120. La société fait d’abord valoir que la démonstration par la rapporteure de la gravité du manquement et du nombre de personnes concernées au soutien de sa proposition de sanction est insuffisante.
121. Elle avance également que les développements de la rapporteure relatifs à la portée du manquement et aux avantages financiers perçus du fait du manquement seraient inopérants dès lors que les boutons glissants figurant sur la seconde fenêtre sont désactivés par défaut, de sorte qu’un utilisateur distrait qui cliquerait sur le bouton » Accepter les cookies » situé au bas de cette seconde fenêtre ne verrait aucun cookie déposé dans son terminal.
122. La formation restreinte rappelle, à titre général, que l’article 20, paragraphe III, de la loi » Informatique et Libertés » lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement. La détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD auquel cet article renvoie.
123. En premier lieu, en ce qui concerne le prononcé d’une amende administrative, la formation restreinte considère qu’il convient premièrement de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la nature, de la portée du traitement et du nombre de personne concernées par ce dernier.
124. Elle relève tout d’abord qu’en ne respectant pas les exigences de l’article 82 de la loi » Informatique et Libertés « , la société ne permet pas aux utilisateurs résidant en France se rendant sur la page web » facebook.com » de refuser les cookies aussi facilement que de les accepter. En les privant de cette véritable liberté de choix, la société incite fortement les utilisateurs à consentir au dépôt de cookies publicitaires.
125. La formation restreinte souligne la portée du réseau social Facebook et la place incontournable qu’il occupe en France, dès lors qu’il domine de loin le marché des réseaux sociaux, comme l’a relevé l’Autorité de la concurrence dans son avis n° 18-A-03 du 6 mars 2018. Elle remarque par ailleurs les » effets de réseau » engendrés par cette position dominante, mis en évidence par l’autorité de la concurrence allemande dans une décision du 6 février 2019.
126. Elle insiste sur le fait que ce manquement est d’autant plus dommageable pour les personnes concernées que, parallèlement à sa fonction traditionnelle de maintien et de développement des relations interpersonnelles, ce réseau social prend également une place croissante dans des domaines aussi divers que l’accès à l’information, le débat public, voire la sécurité civile via la fonctionnalité » contrôle d’absence de danger Facebook » (ou » safety check « ) en cas de catastrophe naturelle ou d’attentat, qui sont d’une importance certaine dans une société démocratique.
127. Elle souligne par ailleurs que le traçage des personnes concernées, qui commence par le recueil des informations liées au compte utilisateur et qui continue tout long de la navigation de l’utilisateur sur Facebook, dans une finalité publicitaire clairement reconnue par le responsable de traitement, ne s’arrête pas aux frontières du réseau social.
128. Il n’est pas discuté que Facebook met à la disposition de très nombreux sites tiers un ensemble d’outils de traçage – tels que des plugins sociaux, des boutons de connexion ou le pixel Facebook – qui vont continuer à collecter les données des utilisateurs visitant ces sites tiers pour les croiser avec les données déjà collectées dans le cadre du réseau social et ce afin d’augmenter la valorisation de ces données. Une étude de 2019 ayant révélé la présence de ces outils de traçage Facebook sur 44% des 65 000 sites web les plus consultés au monde, la portée indirecte du traitement est donc considérable.
129. Enfin, s’agissant du nombre de personnes concernées par le traitement en cause, la formation restreinte rappelle que, selon les propres éléments de volumétrie fournis par la société, le réseau social comptabilise environ […]d’utilisateurs mensuels en France, ce qui correspond à […] % de la population.
130. Deuxièmement, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2, du RGPD relatif aux avantages financiers obtenus du fait du manquement.
131. A cet égard, elle relève que dans la mesure où Facebook suit un modèle d’affaires dit de » mise en relation de contenus ciblés » ( » targeted content matching « ), opérant à la fois dans la collecte des données, leur valorisation et la mise en œuvre opérationnelle des publicités diffusées dans les bannières déployées au sein du réseau social, la performance de son modèle d’affaires repose principalement sur les outils de ciblage et notamment sur les cookies, lesquels permettent de singulariser et d’atteindre l’utilisateur identifié en vue de lui proposer du contenu publicitaire adapté à ses centres d’intérêts et à son profil.
132. En l’occurrence, la formation restreinte estime que le manquement en cause procure des avantages financiers indéniables à la société, dès lors que le fait d’opter pour un parcours facilitant davantage le dépôt des cookies que le refus augmente la part des utilisateurs auprès desquels les cookies publicitaires sont susceptibles d’être déposés et donc accroît également le volume des revenus publicitaires générés par le profilage auquel ces cookies participent.
133. Dans cette perspective, il ressort des éléments financiers de la société FACEBOOK INC., communiqués par la société FIL, que la première tire près de 98% de ses revenus bruts du segment de la publicité en ligne et qu’elle opère une marge opérationnelle mondiale d’environ 40% sur ce segment. Même si l’ensemble de ces revenus ne sont pas directement liés aux cookies, la formation restreinte souligne que ce segment repose essentiellement sur le ciblage des internautes, auquel le cookie participe directement en permettant de singulariser et d’atteindre l’utilisateur identifié en vue de lui afficher du contenu publicitaire correspondant à ses centres d’intérêt et à son profil.
134. En l’occurrence, si elle n’a pas connaissance du montant du bénéfice tiré par le groupe Facebook de la collecte et de l’exploitation de cookies sur le marché français via le revenu généré par la publicité ciblée visant des internautes français, la formation restreinte relève qu’une approximation proportionnelle à partir des données chiffrées dont elle dispose, notamment le revenu moyen généré par un utilisateur européen pour le segment de la publicité en ligne et le nombre d’utilisateurs résidant en France, conduirait à estimer que la France contribuerait au résultat net de la société FACEBOOK INC., la société-mère du groupe Facebook, aujourd’hui nommée META PLAFORMS INC., pour un montant compris entre 550 et 660 millions d’euros.
135. En second lieu, en ce qui concerne la détermination du montant de l’amende, la formation restreinte rappelle qu’en application des dispositions de l’article 20, paragraphe III, de la loi » Informatique et Libertés « , la société FIL encourt une sanction financière d’un montant maximum de 2% de son chiffre d’affaires, lequel était de […] d’euros en 2019.
136. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de 60 millions d’euros à l’encontre de la société apparaît justifiée.
B. Sur le prononcé d’une injonction assortie d’une astreinte
137. Dans ses écritures du 8 octobre 2021, la société a indiqué qu’une mise à jour de son interface de recueil du consentement aux cookies serait en cours de déploiement dans la région européenne, y compris en France, sans toutefois produire de justificatif. Elle précisait que » cette mise à jour pour la région européenne n’introduit pas de finalités supplémentaires pour les cookies, pas plus qu’elle n’ajoute de nouveaux cookies » et qu’elle vise à » améliorer l’ergonomie de l’interface « .
138. Le 6 décembre 2021, la société a communiqué des captures d’écran rendant compte de la nature de cette mise à jour.
139. En premier lieu, la formation restreinte constate que cette mise à jour modifie notamment le contenu des boutons de la première fenêtre » Gérer les paramètres de données » et » Tout accepter « , qui s’intitulent respectivement désormais » Autres options » et » Autoriser tous les cookies » et que dans la seconde fenêtre l’ancien bouton unique » Autoriser les cookies » s’intitule désormais » Autoriser uniquement les cookies essentiels » et qu’à côté la société y a introduit un second bouton intitulé » Autoriser tous les cookies « .
140. La formation restreinte relève que, conformément aux explications déjà évoquées au cours de la séance et répétées par la société dans le courrier accompagnant ces captures d’écran, cette mise à jour ne concerne que les » utilisateurs connectés sur le site www.facebook.com « , ce que des vérifications informelles lui ont effectivement permis de constater.
141. Par ailleurs, et surtout, la formation restreinte remarque que cette mise à jour ne met toujours pas en place des moyens permettant de refuser les cookies aussi facilement qu’ils peuvent les accepter.
142. Par conséquent, dès lors que l’interface résultant de cette mise à jour n’est toujours pas conforme aux dispositions de l’article 82 de la loi » Informatique et Libertés « , telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD, la formation restreinte estime nécessaire le prononcé d’une injonction afin que la société se mette en conformité avec les obligations applicables en la matière.
143. En second lieu, la formation restreinte rappelle qu’une astreinte journalière est une pénalité financière par jour de retard que devra payer le responsable de traitement en cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu. Son prononcé peut donc parfois s’avérer nécessaire pour s’assurer de la mise en conformité du responsable de traitement sous un certain délai.
144. La formation restreinte ajoute qu’afin de conserver à l’astreinte sa fonction comminatoire, son montant doit être à la fois proportionné à la gravité des manquements commis et adapté aux capacités financières du responsable de traitement. Elle relève, par ailleurs, que pour la détermination de ce montant il doit également être tenu compte du fait que le manquement concerné par l’injonction participe indirectement aux bénéfices générés par le responsable de traitement.
145. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de trois mois.
C. Sur la publicité de la décision
146. La société demande à la formation restreinte de ne pas rendre publique sa décision.
147. La formation restreinte considère au contraire que la publicité de la présente décision se justifie au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées.
148. Elle relève également que cette mesure permettra d’alerter les utilisateurs du réseau social Facebook résidant en France de la caractérisation du manquement à l’article 82 de la loi » Informatique et Libertés » dans ses différentes branches et de les informer de la persistance du manquement au jour de la présente délibération et de l’injonction prononcée à l’encontre de la société pour y remédier.
149. Enfin, elle estime que cette mesure n’est pas disproportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société FACEBOOK IRELAND LIMITED d’un montant de soixante millions d’euros (60 000 000 d’euros) au regard du manquement constitué à l’article 82 de la loi » Informatique et Libertés » ;
• prononcer à l’encontre de la société FACEBOOK IRELAND LIMITED, une injonction de modifier, sur le site web » facebook.com « , les modalités de recueil du consentement des utilisateurs situés en France aux opérations de lecture et/ou d’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ;
• assortir l’injonction d’une astreinte de cent mille euros (100 000 euros) par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication ;
• adresser sa délibération à la société FACEBOOK FRANCE en vue de son exécution.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, Mesdames Christine MAUGÜE et Anne DEBET et Monsieur Alain DRU, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;Vu la décision n° 2021-044C du 6 avril 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements accessibles à partir du domaine » facebook.com » ou portant sur des données à caractère personnel collectées à partir de ce dernier ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 26 juillet 2021 ;
Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié à la société FACEBOOK IRELAND LIMITED le 1er septembre 2021 ;
Vu les observations écrites versées par le conseil de la société FACEBOOK IRELAND LIMITED le 8 octobre 2021 ;
Vu la réponse de la rapporteure à ces observations notifiée à la société FACEBOOK IRELAND LIMITED le 28 octobre 2021 ;
Vu les nouvelles observations écrites versées par le conseil de la société FACEBOOK IRELAND LIMITED, reçues le 21 novembre 2021 ;
Vu le courrier adressé par la société FACEBOOK IRELAND LIMITED au président de la formation restreinte et à la rapporteure le 6 décembre 2021 ;
Vu les observations orales formulées lors de la séance de la formation restreinte ;
Vu les autres pièces du dossier ;
Étaient présentes, lors de la séance de la formation restreinte du 2 décembre 2021 :
– Madame Valérie PEUGEOT, commissaire, entendue en son rapport ;
En qualité de représentants de la société FACEBOOK IRELAND LIMITED :
– […] ;
La société FACEBOOK IRELAND LIMITED ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. Créée en 2004 et ayant son siège social aux Etats-Unis (Menlo Park, Californie), la société FACEBOOK INC., renommée META PLAFORMS INC. depuis le 28 octobre 2021, a développé un réseau social (ci-après » le réseau social Facebook « ), disponible sur le web et sur application mobile, qui permet aux utilisateurs ayant créé un compte de partager leurs expériences et d’échanger. Ce dernier regroupe actuellement plus de 2,5 milliards d’utilisateurs actifs par mois dans le monde.
2. La société META PLAFORMS INC. possède plusieurs dizaines de bureaux implantés dans une trentaine de pays et compte plus de 35 000 salariés à travers le monde. Elle dispose de sa propre régie publicitaire et, depuis sa création, elle a notamment acquis le service de partage de photos Instagram (2012) ainsi que la messagerie instantanée WhatsApp (2014). En 2020, elle a réalisé un chiffre d’affaires de près de 86 milliards de dollars pour un résultat net de plus de 29 milliards de dollars. 98% de ce chiffre d’affaires est généré par les revenus issus de la publicité mise en œuvre dans le cadre de ses produits et services.
3. La société FACEBOOK IRELAND LIMITED (ci-après » FIL « ), sise 4 Grand Canal Square, Grand Canal Harbour à Dublin, en Irlande, se présente comme étant le siège du groupe Facebook pour ses activités dans la région européenne depuis 2008. Filiale de la société META PLAFORMS INC. elle emploie environ […] personnes. En 2019, elle a réalisé un chiffre d’affaires de plus de […] d’euros pour un résultat net de plus de […] d’euros.
4. La société FACEBOOK FRANCE, située au 6 rue Ménars à Paris (75002), est l’établissement de META PLAFORMS INC. en France. Filiale de la société META PLAFORMS INC., elle emploie […] salariés. En 2019, elle a réalisé un chiffre d’affaires de plus de […] d’euros pour un résultat net […] d’euros.
5. Le 8 avril 2021, faisant suite à quatre saisines enregistrées entre octobre 2020 et mars 2021, une délégation de la CNIL a effectué un contrôle en ligne sur le site web » facebook.com » en application de la décision n° 2021-044C du 6 avril 2021 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après » la CNIL » ou » la Commission « ).
6. Cette mission avait pour objet de vérifier le respect, par la société, des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après » la loi » Informatique et Libertés » » ou » loi du 6 janvier 1978 « ), en lien avec les traitements consistant en des opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs résidant en France lors de leur visite sur le site web » facebook.com « .
7. Le 16 avril 2021, la délégation a adressé deux questionnaires aux sociétés FACEBOOK FRANCE et FIL afin notamment de leur faire préciser les finalités des opérations de lecture et/ou d’écriture effectuées à partir du site web » facebook.com » dans le terminal des utilisateurs résidant en France et de leur faire confirmer que la société FIL avait bien la responsabilité de traitement de ces opérations. Les sociétés étaient également invitées à préciser leur organisation, leurs activités et les liens qui les unissent.
8. Ces dernières ont respectivement répondu à ces questionnaires les 21 mai et 11 juin 2021, en confirmant notamment que la société FIL agissait en tant que » responsable du traitement pour les traitements de données à caractère personnel mis en œuvre dans le cadre de la fourniture du service Facebook aux utilisateurs dans la région européenne, en ce compris pour les opérations d’écriture et de lecture de cookies sur le site internet » facebook.com » « .
9. Le 26 juillet 2021, sur le fondement de l’article 22 de la loi du 6 janvier 1978, la présidente de la Commission a désigné Madame Valérie PEUGEOT en qualité de rapporteure aux fins d’instruction de ces éléments.
10. Le 1er septembre 2021, à l’issue de son instruction, la rapporteure a fait notifier à la société FIL un rapport détaillant le manquement à la loi » Informatique et Libertés » qu’elle estimait constitué en l’espèce s’agissant de la liberté du consentement, la société ne mettant notamment pas à disposition des utilisateurs situés en France, sur le site web » facebook.com « , un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage. Était également jointe au rapport une convocation à la séance de la formation restreinte du 2 décembre 2021.
11. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de la société FIL, ainsi qu’une injonction de mettre en conformité le traitement consistant en des opérations de lecture et/ou d’écriture d’informations effectuées à partir du site web » facebook.com » dans le terminal des utilisateurs résidant en France avec les dispositions de l’article 82 de la loi » Informatique et Libertés « , assortie d’une astreinte. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
12. Par courrier du 6 septembre 2021, la société a sollicité un délai complémentaire auprès du président de la formation restreinte pour produire ses observations en réponse au rapport de la rapporteure, qui lui a été accordé le 9 septembre suivant, sur le fondement de l’article 40, alinéa 4, du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi » Informatique et Libertés » (ci-après » le décret du 19 mai 2019 « ).
13. Le 8 octobre 2021, la société a produit des observations en réponse au rapport de la rapporteure.
14. Le 18 octobre 2021, la rapporteure a demandé au président de la formation restreinte un délai supplémentaire pour répondre aux observations de la société, qui lui a été accordé le 21 octobre suivant, ce dont la société a été informée le même jour.
15. Le 28 octobre 2021, la rapporteure a répondu aux observations de la société.
16. Le 29 octobre 2021, la société a sollicité auprès du président de la formation restreinte une extension du délai pour produire ses observations à la réponse de la rapporteure, qui lui a été accordée le 4 novembre suivant.
17. Le 21 novembre 2021, la société a présenté de nouvelles observations en réponse à celles de la rapporteure.
18. Le 29 novembre 2021, la société a formulé la demande que les données expressément identifiées dans ses écritures comme relevant du secret des affaires ne soient pas divulguées au public lors de la séance de la formation restreinte, à laquelle le président de la formation restreinte a fait droit par un courrier du 30 novembre 2021.
19. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte du 2 décembre 2021.
20. Le 6 décembre 2021, la société a adressé au président de la formation restreinte et à la rapporteure des éléments complémentaires rendant compte d’une mise à jour en cours de déploiement sur le site web » facebook.com « .
II. Motifs de la décision
A. Sur la compétence de la CNIL
1. Sur la compétence matérielle de la CNIL et la non-application du mécanisme de » guichet unique » prévu par le RGPD
21. Les dispositions de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques – telle que modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (ci-après la » directive » ePrivacy « ) – qui sont relatives au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, ont été transposées en droit interne à l’article 82 de la loi » Informatique et Libertés « , au sein du chapitre IV » Droits et obligations propres aux traitements dans le secteur des communications électroniques » de cette loi.
22. Aux termes de l’article 16 de la loi » Informatique et Libertés « , » la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi « . Selon l’article 20, paragraphe III, de cette même loi, » lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l’informatique et des libertés […] peut saisir la formation restreinte « .
23. La rapporteure considère que la CNIL est matériellement compétente en application de ces dispositions pour contrôler et, le cas échéant, sanctionner les opérations d’accès ou d’inscription d’informations effectuées par la société dans les terminaux des utilisateurs du réseau social Facebook résidant en France et, plus particulièrement, le fait que la société méconnaisse la liberté du consentement des internautes en ne mettant pas à leur disposition un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal qui présente le même degré de simplicité que celui prévu pour en accepter l’usage.
24. La société conteste cette compétence au motif que le manquement qui lui est reproché ne relèverait pas de la directive » ePrivacy « .
25. Elle avance que, contrairement aux sociétés Google et Amazon qui ont été sanctionnées par la formation restreinte en décembre 2020 pour un manquement à l’interdiction de déposer des cookies sans avoir préalablement recueilli le consentement des personnes (décisions CNIL, formation restreinte, 7 décembre 2020, SAN-2020-012 et SAN-2020-013), il lui est seulement reproché, au titre de la présente procédure, d’avoir violé la règle selon laquelle il doit être aussi simple pour les utilisateurs de refuser le dépôt de cookies que d’y consentir.
26. Or, selon la société, cette règle ne résulterait en tant que telle d’aucune disposition légale ou règlementaire applicable et serait une création de la CNIL, formalisée dans les délibérations du 17 septembre 2020 n° 2020-091 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou d’écriture dans le terminal d’un utilisateur (notamment aux » cookies et autres traceurs « ) et n° 2020-092 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux » cookies et autres traceurs » (ci-après les lignes directrices et recommandation du 17 septembre 2020 « ).
27. La société considère qu’à supposer que cette règle existe réellement, elle ne pourrait matériellement relever que du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le » Règlement » ou le » RGPD « ), comme l’aurait d’ailleurs partiellement reconnu la CNIL dans une communication du 2 avril 2021 mise en ligne sur son site web en indiquant que » la seule présence d’un bouton » Paramétrer » en complément du bouton » Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD « .
28. La société en tire comme conséquence qu’il conviendrait d’appliquer le mécanisme de » guichet unique » prévu au chapitre VII de ce Règlement à la présente procédure. Au titre de ce mécanisme, dès lors que la société FIL, qui a la qualité de responsable du traitement en cause, est établie en Irlande et que son administration centrale est située dans ce pays, l’autorité de contrôle compétente pour connaître des faits qui lui sont reprochés ne serait pas la CNIL mais l’autorité de protection des données irlandaise, la Data Protection Commissionner (ci-après » la DPC « ).
29. En premier lieu, la formation restreinte rappelle qu’il convient d’opérer une distinction entre, d’une part, les opérations consistant à déposer et à lire des cookies dans le terminal d’un utilisateur et, d’autre part, l’utilisation ultérieure qui est faite des données générées par ces cookies, par exemple à des fins de profilage, désignée sous l’expression » traitements subséquents » (dits également » ultérieurs « ).
30. Elle souligne que chacune de ces deux étapes successives est soumise à un régime juridique différent : tandis que les opérations de lecture et/ou d’écriture sont régies par des règles spéciales, fixées par l’article 5, paragraphe 3, de la directive » ePrivacy « , les traitements subséquents relèvent quant à eux du RGPD et, à ce titre, peuvent être soumis au mécanisme de » guichet unique » dans l’hypothèse où ils seraient transfrontaliers.
31. Elle rappelle qu’il ressort des dispositions citées ci-avant que le législateur français a chargé la CNIL de veiller au respect des dispositions de la directive » ePrivacy » transposées à l’article 82 de la loi » Informatique et Libertés « , en lui confiant notamment le pouvoir de sanctionner toute méconnaissance de cet article. Elle souligne que cette compétence a notamment été reconnue par le Conseil d’État dans sa décision Association des agences-conseils en communication du 19 juin 2020 concernant la délibération de la CNIL n° 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou écriture dans le terminal d’un utilisateur. Le Conseil d’État a en effet relevé que » l’article 20 de cette loi confie [au] président [de la CNIL] le pouvoir de prendre les mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d’être prononcées » (CE, 19 juin 2020, req. 434684, pt. 3).
32. En l’espèce, la formation restreinte relève que la présente procédure ne vise que les opérations de lecture et/ou d’écriture mises en œuvre dans le terminal de l’utilisateur situé en France se rendant sur le réseau social Facebook, les constatations matérielles effectuées par la délégation lors du contrôle en ligne du 8 avril 2021 n’ayant porté que sur ces opérations, sans s’intéresser aux traitements subséquents mis en œuvre à partir des données collectées via ces cookies.
33. En deuxième lieu, la formation restreinte rappelle qu’au titre des règles prévoyant l’articulation entre la directive » ePrivacy » et le RGPD, l’article 1er paragraphe 2 de cette directive prévoit que » les dispositions de la présente directive précisent et complètent la directive 95/46/CE » du Parlement européen et du Conseil du 24 octobre 1995 sur la protection des données personnelles [ci-après » la directive 95/46/CE « ]), étant rappelé que, depuis l’entrée en application du Règlement, les références faites à la directive 95/46/CE doivent s’entendre comme faites au RGPD, conformément à l’article 94 de ce dernier.
34. De même, il ressort du considérant 173 du RGPD que ce texte prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel » soumis à des obligations spécifiques ayant le même objectif [de protection des libertés et droits fondamentaux] énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques « .
35. La formation restreinte souligne que cette articulation a été confirmée par la Cour de justice de l’Union européenne (ci-après » la CJUE « ) dans sa décision Planet49 du 1er octobre 2019 (CJUE, grande chambre, 1er octobre 2019, Planet49, C-673/17, pt. 42).
36. Elle rappelle également que la directive » ePrivacy » prévoit, pour les obligations spécifiques qu’elle comporte, son propre mécanisme de mise en œuvre et de contrôle de son application en laissant aux Etats membres, par l’intermédiaire de son article 15 bis, le soin de préciser, dans le cadre de leur loi nationale, le régime des sanctions qu’ils souhaitent mettre en œuvre pour garantir son effectivité.
37. Elle relève en l’occurrence que la règle posée à l’article 5, paragraphe 3, de la directive » ePrivacy « , selon laquelle les opérations de lecture et/ou d’écriture doivent systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information, constitue une obligation spécifique puisqu’elle interdit à un acteur de se prévaloir des bases légales mentionnées à l’article 6 du RGPD pour pouvoir licitement procéder à ces opérations de lecture et/ou d’écriture dans le terminal. Il en résulte que la violation de cette règle relève du mécanisme spécial de contrôle et de sanction prévu par la directive » ePrivacy » et non de celui prévu par le RGPD.
38. La formation restreinte note d’ailleurs que le CEPD a, dans son avis n° 5/2019 du 12 mars 2019 relatif aux interactions entre la directive » vie privée et communications électroniques » et le RGPD, explicitement exclu l’application du mécanisme de » guichet unique » à des faits relevant matériellement de la directive » ePrivacy » en ces termes : » conformément au chapitre VII du RGPD, les mécanismes de coopération et de cohérence dont disposent les autorités de protection des données au titre du RGPD concernent le contrôle de l’application des dispositions du RGPD. Les mécanismes du RGPD ne s’appliquent pas au contrôle de l’application des dispositions de la directive » vie privée et communications électroniques » en tant que telle » (CEPD, avis 5/2019, 12 mars 2019, pt. 80).
39. Elle relève de surcroît que la CJUE, dans un arrêt Facebook Belgium rendu le 15 juin 2021, a repris l’avis 5/2019 du CEPD précité, tout en suivant sur ce point les conclusions de son avocat général, M. BOBEK, lequel estimait qu’ » afin de décider si une affaire relève effectivement du champ d’application matériel du RGPD, une juridiction nationale, y compris toute juridiction de renvoi, est tenue de rechercher la source précise de l’obligation légale pesant sur un opérateur économique dont il est allégué qu’il l’a enfreinte. Si la source de cette obligation n’est pas le RGPD, les procédures établies par cet instrument, qui sont liées à son objectif principal, ne sont logiquement pas non plus applicables » (CJUE, conclusions de l’avocat général M. BOBEK, 13 janvier 2021, Facebook Belgium, C 645/19, pts. 37 et 38).
40. En l’occurrence, la formation restreinte relève que, dans la présente procédure, la source précise de l’obligation légale objet du contrôle trouve sa seule origine dans l’obligation spécifique posée à l’article 5, paragraphe 3, de la directive » ePrivacy « , transposé en droit français à l’article 82 de la loi » Informatique et Libertés « .
41. En troisième lieu, s’agissant de la portée à donner à cette obligation spécifique, la formation restreinte rappelle que les opérations de lecture et/ou d’écriture dans le terminal de l’utilisateur doivent systématiquement faire l’objet du » consentement préalable » de l’utilisateur. Elle souligne qu’en vertu de l’article 2, paragraphe f) de la directive » ePrivacy « , le consentement doit s’entendre au sens de » consentement de la personne concernée » figurant dans la directive 95/46/CE. Or, dans la mesure où, comme déjà évoqué, depuis l’entrée en application du Règlement les références faites à la directive 95/46/CE doivent s’entendre comme faites au RGPD, il en résulte que le » consentement » prévu à l’article 5, paragraphe 3, de la directive » ePrivacy » tel que transposé à l’article 82 de la loi » Informatique et Libertés » doit désormais s’entendre au sens du RGPD.
42. A cet égard, la formation restreinte relève que le consentement au sens du RGPD pose plus d’exigences en la matière que ce que prévoyait l’article 2, h) de la directive 95/46/CE. Notamment, au titre de ces nouvelles exigences, l’article 4, paragraphe 11 du RGPD requiert que le consentement soit désormais univoque, ce qui implique qu’il soit donné par un » acte positif clair » et le considérant 42 du RGPD renforce son caractère libre, en précisant que la personne doit désormais disposer d’une » véritable liberté de choix » au moment de consentir.
43. En ce qui concerne les opérations de lecture et/ou d’écriture d’informations, ce renforcement du caractère libre du consentement implique que les modalités qui sont proposées à l’utilisateur pour manifester son choix soient telles qu’elles ne l’incitent pas plus à accepter les cookies qu’à les refuser.
44. La formation restreinte remarque que c’est dans ce sens qu’il convient de comprendre la communication de la CNIL du 2 avril 2021 publiée sur son site web et dénoncée par la société. En effet, en écrivant que » la seule présence d’un bouton » Paramétrer » en complément du bouton » Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD « , la CNIL a seulement voulu souligner le renforcement des exigences relatives au recueil du consentement de l’utilisateur avant toute opération de lecture et/ou d’écriture d’informations dans son terminal engendré par l’entrée en application du RGPD.
45. La formation restreinte souligne néanmoins que si le RGPD étaye bien les conditions du consentement, le respect des dispositions spéciales issues de la directive » ePrivacy » qui imposent ce consentement, désormais renforcé, de l’utilisateur avant toute opération de lecture et/ou d’écriture dans son terminal continue de relever, en vertu de l’adage specialia generalibus derogant, de la règle spéciale posée par l’article 5, paragraphe 3, de la directive » ePrivacy » et, partant, du mécanisme spécial de contrôle et de sanction prévu à l’article 15 bis de cette même directive.
46. Ainsi, le simple renvoi au RGPD qu’opèrent les dispositions de la directive » ePrivacy » sur la définition du consentement ne suffit pas à attraire avec lui l’applicabilité du mécanisme de » guichet unique » aux faits de l’espèce.
47. En quatrième lieu, la formation restreinte observe qu’il serait en tout état de cause matériellement impossible en l’état actuel du droit d’appliquer le mécanisme de » guichet unique » à des faits relevant de la directive » ePrivacy » et que cette position fait par ailleurs l’objet d’un consensus au niveau européen.
48. En effet, les États membres, qui sont libres de déterminer l’autorité nationale compétente pour connaître des violations des dispositions nationales prises en application de la directive » ePrivacy « , peuvent avoir attribué cette compétence à une autorité autre que leur autorité nationale de protection des données instituée par le RGPD, en l’occurrence à leur autorité de régulation des télécommunications. Dès lors, dans la mesure où ces dernières autorités ne font pas partie du CEPD, alors que ce comité joue une fonction incontournable dans le mécanisme de contrôle de la cohérence mis en œuvre au chapitre VII du RGPD, il est de fait impossible d’appliquer le » guichet unique » à des pratiques susceptibles d’être sanctionnées par des autorités de contrôle nationales ne siégeant pas au sein de ce comité.
49. La formation restreinte souligne également que d’autres autorités nationales de protection des données ont également déjà prononcé des sanctions portant sur des manquements relatifs aux opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs. L’autorité espagnole a ainsi rendu plusieurs décisions de sanction à l’encontre de différents responsables de traitement en application exclusive des dispositions nationales transposant la directive » ePrivacy « , en l’occurrence l’article 22, paragraphe 2 de la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico, sans que soit mise en œuvre la procédure de coopération instituée par le RGPD.
50. Enfin, la formation restreinte note que la question d’une éventuelle future application du mécanisme de » guichet unique » aux traitements aujourd’hui encadrés par l’actuelle directive » ePrivacy » fait l’objet de nombreuses discussions dans le cadre de l’élaboration du projet de règlement » ePrivacy » en cours de négociation depuis plus de quatre ans au niveau européen. L’existence même de ces débats confirme qu’en l’état le mécanisme de » guichet unique » prévu par le RGPD n’est pas applicable aux matières régies par l’actuelle directive » ePrivacy « .
51. Il résulte de ce qui précède que le mécanisme de » guichet unique » prévu par le RGPD n’est pas applicable à la présente procédure et que la CNIL est compétente pour contrôler et engager une procédure de sanction contre le traitement mis en œuvre par la société consistant en des opérations de lecture et/ou d’écriture d’informations effectuées à partir du site web » facebook.com » dans le terminal des utilisateurs résidant en France relevant du champ d’application de la directive » ePrivacy « , sous réserve que ce traitement se rattache à sa compétence territoriale.
2. Sur la compétence territoriale de la CNIL
52. La règle d’application territoriale des exigences fixées à l’article 82 de la loi » Informatique et Libertés » est précisée à l’article 3, paragraphe I, de cette loi, lequel dispose : » sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement (…) sur le territoire français, que le traitement ait lieu ou non en France « .
53. La rapporteure considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations d’accès et/ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social Facebook, notamment à des fins publicitaires, est effectué dans le » cadre des activités » de la société FACEBOOK FRANCE, qui constitue » l’établissement » sur le territoire français du groupe Facebook.
54. La société soutient que dans la mesure où il conviendrait de faire application des règles de compétence et des procédures de coopération définies par le RGPD, la CNIL ne disposerait pas de la compétence territoriale pour connaître de cette affaire étant donné que le » siège réel » du groupe Facebook en Europe, soit le lieu de son administration centrale au sens de l’article 56 du RGPD, est situé en Irlande.
55. La formation restreinte relève que pour déterminer si la CNIL dispose d’une compétence pour contrôler le respect, par la société FIL, des exigences prévues à l’article 82 de la loi » Informatique et Libertés » dans le cadre du traitement en cause, il convient d’examiner en l’occurrence si les deux critères d’application territoriale de la loi » informatiques et libertés « , prévus au paragraphe I de son article 3, sont réunis : à savoir, d’une part, si Facebook dispose d’un » établissement sur le territoire français » et si, d’autre part, le traitement en cause est effectué » dans le cadre des activités de cet établissement « .
56. La formation restreinte rappelle en ce sens que la directive » ePrivacy » ne fixe pas elle-même explicitement la règle d’application territoriale des différentes lois de transposition adoptées par chaque Etat membre. Cependant, cette directive indique qu’elle » précise et complète la directive 95/46.CE « , laquelle prévoyait à l’époque, à son article 4, que » chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable « .
57. Si cette règle de détermination de la loi nationale applicable au sein de l’Union n’a plus lieu d’être pour l’application des règles du RGPD, qui a remplacé la directive 95/46/CE et s’applique uniformément sur tout le territoire de l’Union, la formation restreinte relève que le législateur français a maintenu ces deux critères d’application territoriale pour les règles spécifiques contenues dans la loi » Informatique et Libertés « , notamment celles qui transposent la directive » ePrivacy « . Il en résulte, comme il sera développé infra, que la jurisprudence de la CJUE sur l’application de l’article 4 de la directive 95/46/CE demeure pertinente pour éclairer la portée à donner à ces deux critères.
58. En premier lieu, sur l’existence d’un établissement de Facebook sur le territoire français, la formation restreinte rappelle que, de façon constante, la CJUE a considéré que la notion » dans le cadre des activités d’un établissement » ne saurait recevoir une interprétation restrictive en droit de la protection des données et, que pour savoir si un responsable de traitement disposait d’un » établissement » il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question (cf. notamment, CJUE, 1er octobre 2015, Weltimmo, C 230/14, pts. 25 à 31).
59. La Cour a notamment précisé que » la notion d’ »établissement « , au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable » (idem, pt. 30), le critère de stabilité de l’installation étant examiné au regard de la présence de » moyens humains et techniques nécessaires à la fourniture de services concrets en question » (idem, pt. 31). La Cour a estimé, en outre, qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).
60. En l’occurrence, la société FACEBOOK FRANCE, immatriculée en France depuis le 3 février 2011, est le siège de la filiale française de la société META PLAFORMS INC. Elle dispose de locaux situés à Paris et emploie environ […] personnes. Il est précisé dans les statuts de cette société, mis à jour et déposés auprès du greffe du tribunal de commerce de Paris le 9 juillet 2020, qu’elle a notamment pour objet » toute activité relative, directement ou indirectement, à l’achat, la vente ou l’intermédiation d’espaces publicitaires sur la Plateforme de réseau social en ligne Facebook ou tout autre plateforme opérée par le groupe Facebook, ou tout autre accord commercial, dans son sens le plus étendu, relatif à l’espace publicitaire en ligne et notamment, sans que cette liste soit limitative, l’offre d’achat, de vente ou de fournir de l’espace publicitaire en ligne, la négociation de contrats concernant l’espace publicitaire en ligne, la mise en œuvre de stratégies marketing relatives à des offres de vente d’espaces publicitaires et tout autre service de publicité pouvant être fournis à des annonceurs, des agences publicitaires ou tout autre tiers « .
61. En ce qui concerne les liens de cette société avec la société FIL, la formation restreinte relève qu’elles sont toutes deux des filiales de la maison-mère du groupe, la société META PLAFORMS INC., et qu’elles sont notamment liées l’une à l’autre par un contrat de revente d’espaces publicitaires et par un contrat de prestation de services, en vigueur depuis le 1er juillet 2018.
62. A cet égard, la formation restreinte remarque que si, dans sa réponse du 21 mai 2021, la société FACEBOOK FRANCE a déclaré que » par principe, FIL est la société contractante pour les annonceurs et partenaires en France souhaitant utiliser les produits et services publicitaires de Facebook » (…) pour la création, la soumission ou la diffusion de publicités ou toute autre activité ou tout autre contenu commercial ou sponsorisé » (…) « , elle affirme également très clairement que son rôle consiste en » la fourniture d’un support local aux annonceurs et partenaires en France et à la passation des commandes et la facturation de certains clients « .
63. Notamment, la formation restreinte relève qu’au titre du contrat de prestation de services, la société FACEBOOK FRANCE fournit à titre non exclusif de nombreux services à la société FIL, dont des services généraux, administratifs, de ressources humaines, comptables, juridiques, politiques, marketing et de gestion des partenariats.
64. Dès lors, au regard de la nature de ces services, la formation restreinte considère que la société FACEBOOK FRANCE doit être regardée comme l’établissement en France de la société FIL.
65. En second lieu, sur l’existence d’un traitement effectué » dans le cadre des activités » de la société FACEBOOK FRANCE, la formation restreinte rappelle que dans ses décisions Wirtschaftsakademie (CJUE, grande chambre, 5 juin 2018, Wirtschaftsakademie, C-210/16, pts. 56 à 60) et Facebook Belgium (CJUE, grande chambre, 15 juin 2021, Facebook Belgium, C-645/19, pts. 92 à 95), qui s’inscrivent dans la lignée de la jurisprudence Google Spain du 13 mai 2014 relative aux activités du moteur de recherche Google en Espagne (CJUE, grande chambre, 13 mai 2014, Google Spain, C-131/12, pt. 55), la Cour de justice a considéré que le traitement consistant en la collecte de données à caractère personnel par l’intermédiaire de cookies déposés dans les terminaux des utilisateurs visitant, en Allemagne et en Belgique, des pages hébergées sur le réseau social Facebook était respectivement effectué » dans le cadre des activités » des sociétés FACEBOOK GERMANY et FACEBOOK BELGIUM, établissements allemand et belge du groupe Facebook, dans la mesure où ces établissements sont destinés à assurer, dans leur pays respectif, la promotion et la vente des espaces publicitaires proposés par ce réseau social, qui servent à rentabiliser le service offert par Facebook.
66. Ainsi, dans l’arrêt Facebook Belgium, la Cour de justice a relevé » d’une part, un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité qui y est diffusée et que l’activité exercée par l’établissement situé en Belgique est destinée à assurer, dans cet État membre, même si ce n’est que de manière accessoire, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services Facebook. D’autre part, l’activité exercée à titre principal par Facebook Belgium, consistant à entretenir des relations avec les institutions de l’Union et à constituer un point de contact avec ces dernières, vise notamment à établir la politique de traitement des données à caractère personnel par Facebook Ireland. Dans ces conditions, les activités de l’établissement du groupe Facebook situé en Belgique doivent être considérées comme étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union » (pts. 94-95).
67. Même si ces trois arrêts concernaient plus spécialement les traitements subséquents mis en œuvre à partir des cookies déposés dans les terminaux des utilisateurs – ce qui justifiait l’application de la directive 95/46/CE pour les affaires Google Spain et Wirtschaftsakademie et du RGPD pour l’affaire Facebook Belgium – cette jurisprudence demeure pertinente pour éclairer la portée à donner à la notion de traitement effectué » dans le cadre des activités » d’un établissement, le législateur français l’ayant reprise, lors de la transposition de la directive » ePrivacy « , pour fonder la compétence territoriale de la CNIL s’agissant des traitements relevant de cette directive.
68. En l’espèce, la formation restreinte relève que les analyses conduites en Allemagne et en Belgique par les autorités de protection des données allemande et belge s’agissant des sociétés FACEBOOK GERMANY et FACEBOOK BELGIUM, et confirmées par la CJUE, peuvent être reproduites en France par la CNIL s’agissant de la société FACEBOOK FRANCE.
69. En effet, il ressort de la réponse de la société FACEBOOK FRANCE du 21 mai 2021 que ses activités consistent à fournir des » services de support publicitaire à des annonceurs et partenaires en France pour le compte de FIL « . Plus précisément, » elle informe les annonceurs et partenaires en France sur l’utilisation qu’ils peuvent faire des services publicitaires de Facebook proposés par FIL. A titre d’illustration, FB France fournit des conseils sur la manière d’utiliser les outils et les fonctionnalités des produits Facebook afin d’optimiser les budgets publicitaires ou d’améliorer la qualité des campagnes publicitaires « . Enfin, » depuis le 1er juillet 2018, [elle] interagit également avec certains annonceurs et partenaires en France, pour ce qui concerne la passation de leurs commandes et la facturation liées à la revente d’espaces publicitaires à leur bénéfice « .
70. En conséquence, la formation restreinte considère que le traitement en cause – consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du réseau social Facebook, notamment à des fins publicitaires – est effectué » dans le cadre des activités de FACEBOOK FRANCE « , société qui est » l’établissement de Facebook sur le territoire français » et participe, à ce titre, à la promotion et à la commercialisation des produits Facebook et de leurs solutions publicitaires en France. Les deux critères prévus à l’article 3, paragraphe I, de la loi » Informatique et Libertés » étant réunis, le traitement est soumis au droit français.
71. La formation restreinte souligne que l’application du droit français ne concerne que les opérations de lecture et/ou d’écriture qui sont effectuées sur le territoire français (l’article 4 de la directive 95/46/CE précisait d’ailleurs que la loi de l’Etat membre ne s’appliquait qu’aux activités de l’établissement » sur le territoire de l’Etat membre « ).
72. Elle relève enfin qu’il s’agit d’une position constante de sa part depuis l’intervention de la jurisprudence Google Spain en 2014 (cf. notamment les décisions CNIL, formation restreinte, 27 avril 2017, SAN-2017-006 ; CNIL, formation restreinte, 19 décembre 2018, SAN-2018-011 ; CNIL, formation restreinte, 7 décembre 2021, SAN-2020-012 et CNIL, formation restreinte, 7 décembre 2021, SAN-2020-013).
73. Il résulte de ce qui précède que le droit français est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction concernant le traitement en cause qui relève du champ d’application de la directive » ePrivacy « .
B. Sur le grief tiré de l’illégalité de la présente procédure de sanction
74. La société dénonce le fait de n’avoir pas bénéficié d’une mise en demeure préalable, à l’instar de la soixantaine d’acteurs ayant fait l’objet de cette mesure correctrice entre mai et juillet 2021 pour des faits similaires, et invoque l’atteinte au principe d’égalité devant la loi qui en résulterait.
75. Elle soutient que ce principe serait également méconnu en raison de la sévérité des mesures correctrices proposées par la rapporteure en comparaison des récentes décisions de la formation restreinte prononcées à l’encontre d’acteurs importants pour non-respect des dispositions de l’article 82 de la loi » Informatique et Libertés » (cf. décisions CNIL, formation restreinte, 18 novembre 2020, SAN-2020-009, Carrefour Banque ; 7 décembre 2020, SAN-2020-012, Amazon et SAN-2020-013, Google ; 27 juillet 2021, SAN-2021-013, Le Figaro).
76. S’agissant d’abord du défaut de mise en demeure préalable, la formation restreinte relève qu’en vertu de l’article 20, paragraphe III, de la loi » Informatique et Libertés » l’orientation d’un dossier vers une procédure de sanction appartient au seul président de la CNIL, de sorte que la formation restreinte, n’a pas à se prononcer sur le principe de sa saisine.
77. Elle rappelle également qu’il résulte de ces dispositions que le président de la CNIL n’est pas tenu d’adresser une mise en demeure à un responsable de traitement avant d’engager une procédure de sanction à son encontre. Elle ajoute que la possibilité d’engager directement une procédure de sanction a été confirmée par le Conseil d’État (voir, notamment, CE, 4 nov. 2020, n° 433311, pt. 3).
78. Au demeurant, la formation restreinte remarque qu’une mise en demeure préalable se justifiait d’autant moins en l’espèce que la société a déjà, à la suite d’une mise en demeure préalable, fait l’objet d’une sanction de la part de la formation restreinte pour des manquements relatifs aux cookies en 2017. La société se devait donc d’être à la fois particulièrement vigilante quant au respect de ses obligations en matière de cookies et également attentive aux évolutions de la réglementation en la matière, notamment à la suite du renforcement des conditions du consentement consécutif à l’entrée en application du RGPD.
79. La formation restreinte relève, enfin, que la CNIL a particulièrement communiqué sur ces évolutions, notamment en définissant un plan d’action relatif aux cookies dont les modalités ont été détaillées dès 2019 dans un communiqué de presse diffusé sur son site web le 28 juin 2019. La CNIL y précisait notamment qu’elle laisserait une » période transitoire » aux responsables de traitement afin qu’ils disposent du temps nécessaire à la mise en conformité de leurs opérations de lecture et/ou d’écriture aux nouvelles exigences consécutives à l’entrée en application du RGPD et qui seraient consacrées dans la nouvelle recommandation qui allait être rédigée. Elle soulignait déjà qu’elle procéderait à des vérifications du respect de cette future recommandation dans les six mois suivant son adoption définitive. Prorogée une fois, cette période d’adaptation est arrivée à son terme le 1er avril 2021.
80. S’agissant, ensuite, du montant de l’amende proposé par la rapporteure, celui-ci n’a pas d’incidence sur la légalité de la procédure.
81. En conséquence, la formation restreinte estime que le grief tiré de l’illégalité de la procédure doit être écarté.
C. Sur le manquement aux obligations en matière de cookies
82. Aux termes de l’article 82 de la loi » Informatique et Libertés « , qui transpose en droit français les dispositions de l’article 5, paragraphe 3, de la directive » ePrivacy « , » tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement (…) « .
83. En vertu de l’article 2, paragraphe f) de la directive » ePrivacy « , le consentement doit s’entendre au sens de » consentement de la personne concernée » figurant dans la directive 95/46/CE. Aux termes de l’article 94 du RGPD » les références faites à la directive abrogée doivent s’entendre comme faites au [RGPD] « .
84. Au titre de l’article 4, paragraphe 11, du RGPD, pour être valablement recueilli, le consentement doit être une » manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair « .
85. La portée de cet article est éclairée par le considérant 42 du RGPD, selon lequel » le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice « .
86. En l’espèce, la délégation a constaté dans le cadre du contrôle en ligne du 8 avril 2021 que, lorsqu’un utilisateur se rend sur le réseau social Facebook, une fenêtre surgissante dont le titre est » Accepter les cookies de Facebook dans ce navigateur » apparaît et, qu’au bas de cette fenêtre, figurent deux boutons intitulés » Gérer les paramètres de données » et » Tout accepter « . Il a également été constaté qu’à ce stade aucun cookie n’était déposé dans le terminal de l’utilisateur et que ce dernier était obligé de cliquer sur l’un de ces deux boutons pour pouvoir poursuivre sa navigation sur le réseau social.
87. Ainsi, lorsque l’utilisateur clique sur le bouton » Tout accepter » figurant au bas de cette première fenêtre et donne par cette action son consentement à la lecture et/ou à l’écriture d’informations dans son terminal, la fenêtre disparaît, ce qui lui permet de poursuivre la navigation sur le réseau social.
88. Lorsque l’utilisateur clique sur le bouton » Gérer les paramètres de données « , une nouvelle fenêtre surgissante apparaît, comprenant les deux finalités principales poursuivies par les cookies soumis à consentement – la publicité personnalisée effectuée par Facebook et la publicité personnalisée effectuée par des tiers – et à côté desquelles se trouvent des boutons glissants, désactivés par défaut.
89. La délégation a constaté que lorsque l’utilisateur fait défiler cette seconde fenêtre, laisse les deux boutons glissants désactivés, puis clique sur le bouton » Accepter les cookies » figurant au bas de cette fenêtre, cette dernière disparaît, ce qui lui permet de poursuivre sa navigation sur le réseau social sans que des cookies publicitaires aient été déposés dans son terminal.
90. Au regard de ces constatations, la rapporteure estime que la société a commis un manquement à l’article 82 de la loi » Informatique et Libertés « , tel qu’éclairé par les exigences renforcées en matière de consentement posées par le RGPD, dès lors qu’elle ne met pas à disposition des utilisateurs résidant en France, sur le site web » facebook.com « , un moyen de consentir librement en refusant les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage. La rapporteure estime, en outre, que l’information fournie à l’utilisateur ne lui permet par ailleurs pas de comprendre clairement qu’il peut refuser les cookies.
91. Elle relève également à titre d’éclairage qu’aux termes de ses lignes directrices 5/2020 sur le consentement au sens du Règlement (UE) 2016/679, adoptées le 4 mai 2020, le CEPD a rappelé que » l’adjectif » libre » implique un choix et un contrôle réel pour les personnes concernées » (§13).
92. De même, dans le cadre de sa délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux » cookies et autres traceurs « , la Commission a considéré, compte tenu des textes applicables précités, que » le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité « .
93. La société fait valoir que ni la directive » ePrivacy « , ni sa transposition en droit français à l’article 82 de la loi » Informatique et Libertés » ne prévoient la règle selon laquelle il doit être aussi facile de refuser les cookies que de les accepter. Elle ajoute que cette règle n’est pas non plus prévue par le RGPD, dont l’article 7, paragraphe 3, n’introduit qu’une obligation relative au retrait du consentement, qui ne s’étend pas au refus initial de consentir aux cookies.
94. Elle avance que les lignes directrices et la recommandation du 17 septembre 2020 de la CNIL n’ont pas valeur impérative et ne renvoient en tout état de cause à aucune disposition contraignante du RGPD ou de la directive » ePrivacy » lorsqu’elles évoquent cette règle qui, dans ces deux instruments de la CNIL, figure d’ailleurs sous des titres relatifs au refus du consentement et non à la liberté du consentement.
95. Enfin, elle soutient que son parcours informationnel est conforme aux règles applicables dès lors qu’elle fournit bien, dès la première fenêtre, une information relative au paramétrage des cookies et qu’un utilisateur distrait parvenu à la seconde fenêtre permettant ce paramétrage, qui cliquerait sur le bouton » Accepter les cookies » figurant au bas de cette seconde fenêtre, ne verrait aucun cookie publicitaire déposé dans son terminal.
96. En premier lieu, en ce qui concerne les modalités du refus, la formation restreinte renvoie aux dispositions rappelées aux points 41 à 43 et aux points 82 et suivants de la présente délibération. Elle estime que, pour garantir la liberté du consentement, il devrait en l’espèce être aussi facile de refuser les cookies que de les accepter. Elle souligne que le CEPD éclaire ce point dans ses lignes directrices sur le consentement adoptées le 4 mai 2020 en précisant que » l’adjectif » libre » implique un choix et un contrôle réel pour les personnes concernées « .
97. En appliquant cette exigence de liberté du consentement aux cookies, elle estime que rendre le mécanisme de refus plus complexe que celui permettant de les accepter, par exemple en reléguant au sein d’une deuxième fenêtre le bouton permettant de les refuser, revient généralement, dans le contexte de la navigation sur le web, en réalité à altérer la liberté de choix des utilisateurs en les incitant à privilégier l’acceptation de ces cookies plutôt que leur refus.
98. Elle relève que cette conclusion est notamment corroborée par une étude universitaire intitulée » Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence » ( » Les ‘dark patterns’ au temps du RGPD : récupération des fenêtres de consentement et démonstration de leur influence « ) conduite en 2020 à partir de différents bandeaux cookies proposés à un panel d’utilisateurs. Dans cette étude, des chercheurs provenant notamment des universités de Cambridge et du MIT ont démontré que 93,1% des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser. Cette étude démontrait également que le fait de reléguer le bouton du refus au second niveau augmentait en moyenne de 23,1 points de pourcentage le taux de consentement aux cookies.
99. Elle rappelle également que, pour tenir compte de l’évolution induite par l’entrée en application du RGPD et notamment pour éclairer la portée à donner à la règle contestée dans la présente procédure, la CNIL a fait évoluer sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs (ci-après » la recommandation du 5 décembre 2013 « ).
100. Cette évolution s’est traduite d’abord par l’adoption de la délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou d’écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (ci-après » les lignes directrices du 4 juillet 2019), qui prévoyait déjà en son article 2, » qu’il doit être aussi facile de refuser ou de retirer son consentement que de le donner « , puis par celle des lignes directrices et la recommandation du 17 septembre 2020, qui ont respectivement abrogé les lignes directrices du 4 juillet 2019 et la recommandation du 5 décembre 2013.
101. La formation restreinte souligne que les deux instruments adoptés en 2020 visent à interpréter les dispositions législatives et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect de ces dispositions, afin qu’ils mettent en œuvre ces mesures ou des mesures d’effet équivalent, sans toutefois prévoir de nouvelles obligations légales. Elle relève que les lignes directrices du 17 septembre 2020 précisent qu’elles » ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations […] dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion (ci-après » cookies « ) « .
102. Elle remarque que l’article 2 des lignes directrices du 17 septembre 2020 et l’article 2.4 de la recommandation du 17 septembre 2020 sont très claires, cette dernière rappelant que » le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité « .
103. Elle souligne que si, par souci de pédagogie, ces précisions figurent dans ces deux instruments sous des titres qui évoquent son contenu plutôt que la source juridique dont elle procède ( » S’agissant des modalités du refus » pour la recommandation du 17 septembre 2020, » Sur le refus et le retrait du consentement » pour les lignes directrices du 17 septembre 2020), c’est bien l’exigence de liberté du consentement posée par le RGPD qui implique, s’agissant du dépôt de cookies, que les modalités proposées à l’utilisateur pour manifester ce choix soient telles qu’elles ne l’incitent pas plus à accepter les cookies qu’à les refuser.
104. La formation restreinte relève d’ailleurs que le Conseil d’État a déjà eu l’occasion de se prononcer sur cette question dans sa décision Association des agences-conseils en communication, dans laquelle il examinait les lignes directrices du 4 juillet 2019. Il a ainsi jugé que : » la CNIL qui, en indiquant qu’il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s’est bornée à caractériser les conditions du refus de l’utilisateur, sans définir de modalités techniques particulières d’expression d’un tel refus, n’a entaché sa délibération d’aucune méconnaissance des règles applicables en la matière » (CE, 19 juin 2020, n° 434684, T., pt 15).
105. Elle remarque que ce considérant doit être lu à l’aune des conclusions du rapporteur public sur cet arrêt, lequel relevait : » Comme l’indique la CNIL, les lignes directrices attaquées n’imposent aucune modalité technique de recueil de ce refus. Elles se bornent à exiger, de manière générale et à juste titre, qu’il ne soit pas plus compliqué de refuser que d’accepter » (CE, conclusions du rapporteur public sur l’arrêt n° 434684, p. 17).
106. Enfin, elle souligne que dans les lignes directrices et dans la recommandation du 17 septembre 2020, la CNIL n’impose pas nécessairement l’insertion d’un bouton » Tout refuser « , mais rappelle l’importance de mettre en place une alternative simple permettant à l’utilisateur de refuser les cookies aussi simplement que de les accepter, en donnant des exemples de formulation et de modalités qui peuvent être utilisées par les organismes afin que la liberté du consentement des utilisateurs soit véritablement respectée.
107. Ainsi, au titre de la recommandation du 17 septembre 2020, la CNIL propose : » Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement » tout accepter » et » tout refuser « , » autoriser » et » interdire « , ou » consentir » et » ne pas consentir « , ou toute autre formulation équivalente et suffisamment claire. La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement. L’expression du refus de consentir peut toutefois découler d’autres types d’actions que celle consistant à cliquer sur l’un des boutons décrits ci-dessus. En tout état de cause, la Commission rappelle que les modalités permettant aux utilisateurs de consentir ou de refuser doivent être présentées de façon claire et compréhensible. En particulier, lorsque le refus peut être manifesté par la simple fermeture de la fenêtre de recueil du consentement ou encore par l’absence d’interaction avec celle-ci pendant un certain laps de temps, cette possibilité doit être clairement indiquée aux utilisateurs sur cette fenêtre. En effet, à défaut, l’utilisateur serait susceptible de ne pas comprendre que ces actions conduisent à ce qu’aucune opération de lecture ou d’écriture soumise au consentement ne peut avoir légalement lieu. Un design et une information appropriés devraient lui permettre de bien comprendre les options qui s’offrent à lui « .
108. En l’espèce, la formation restreinte rappelle que, tel qu’il ressort des constations effectuées lors du contrôle en ligne du 8 avril 2021, lorsqu’un utilisateur résidant en France se rend sur le site web » facebook.com « , il peut accepter le dépôt de cookies publicitaires en une seule action, en cliquant sur le bouton intitulé » Accepter les cookies » figurant sur la première fenêtre.
109. Elle relève qu’en revanche, pour refuser ces cookies, l’utilisateur devra effectuer pas moins de trois actions : d’abord cliquer sur le bouton intitulé » Gérer les paramètres de données » situé au-dessus du bouton » Accepter les cookies » de la première fenêtre, faire défiler l’intégralité du contenu de la seconde fenêtre, notamment pour constater que les deux boutons glissants commandant le dépôt de cookies publicitaires sont désactivés par défaut, et enfin cliquer sur le bouton » Tout accepter » situé au bas de cette seconde fenêtre.
110. En l’occurrence et comme elle l’a déjà évoqué, la formation restreinte considère que le fait, pour la société, de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton » Accepter les cookies « . En effet, un utilisateur du web est généralement conduit à consulter de nombreux sites. La navigation sur le web se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur » Gérer les paramètres de données » et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Il n’est pas contesté qu’en l’espèce, la société offre un choix entre l’acceptation ou le refus des cookies, mais les modalités par lesquelles ce refus peut être exprimé, dans le contexte de la navigation sur le web, biaise l’expression du choix en faveur du consentement de façon à altérer la liberté de choix.
111. En second lieu, en ce qui concerne l’information fournie, la formation restreinte rappelle qu’au titre de l’article 82 de la loi » Informatique et Libertés « , l’utilisateur doit notamment être informé, avant de consentir aux cookies, » des moyens dont il dispose pour s’y opposer « , c’est-à-dire pour les refuser, et que l’information fournie doit être » claire et complète « . Elle souligne que ces dispositions doivent se lire à la lumière du considérant 66 de la directive modificative 2009/136/CE » ePrivacy » qui prévoit que » les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles « .
112. Elle souligne que, dans le cadre de sa recommandation du 17 septembre 2020, la Commission a pris soin de préciser que cette exigence d’une information » claire et complète » devait s’interpréter de telle façon que » l’information accompagnant chaque élément actionnable permettant d’exprimer un consentement ou un refus soit facilement compréhensible et ne nécessite pas d’efforts de concentration ou d’interprétation de la part de l’utilisateur. Ainsi, il est notamment recommandé de s’assurer qu’elle n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir « .
113. En l’espèce, elle rappelle qu’il ressort du contrôle en ligne du 8 avril 2021 qu’une fois arrivé sur le site web » facebook.com « , l’utilisateur doit, pour refuser le dépôt de cookies publicitaires, d’abord cliquer sur le bouton » Gérer les paramètres de données » de la première fenêtre, faire défiler l’intégralité de la seconde fenêtre surgissante en laissant les deux boutons glissants désactivés pour ne pas accepter les cookies, puis cliquer sur le bouton » Accepter les cookies » figurant au bas de cette seconde fenêtre.
114. Si, comme la société le fait valoir en défense, la formation restreinte reconnaît qu’un utilisateur distrait qui cliquerait sur le bouton » Accepter les cookies » figurant au bas de la seconde fenêtre ne verrait aucun cookie publicitaire déposé dans son terminal dès lors que les boutons glissants permettant d’activer le dépôt de ces cookies sont désactivés par défaut, elle relève qu’il est particulièrement contre-intuitif de devoir cliquer sur un bouton intitulé » Accepter les cookies » pour en réalité refuser leur dépôt.
115. La formation restreinte considère que ces modalités incitent plutôt l’utilisateur à penser qu’il n’est finalement pas possible de poursuivre sa navigation en ayant refusé le dépôt de cookies publicitaires puisque tout le parcours de refus des cookies repose sur une information renvoyant à l’acceptation des cookies.
116. Elle relève que ce sentiment ne peut être qu’accentué par le caractère peu explicite du bouton » Gérer les paramètres de données » proposé dans le cadre de la première fenêtre, qui ne mentionne pas clairement l’existence de moyens permettant de refuser les cookies.
117. Elle estime que le fait qu’in fine les cookies ne soient pas déposés est sans incidence sur la confusion générée par ce parcours informationnel contradictoire qui peut donner à l’utilisateur le sentiment qu’il n’est pas possible de refuser le dépôt de cookies et qu’il ne dispose pas de modalités de contrôle à cet égard.
118. Au vu de ces éléments, la formation restreinte considère que l’information fournie aux utilisateurs résidant en France se rendant sur la page » facebook.com » ainsi que les modalités de recueil de consentement qui leur sont proposées par la société sur ce site web ne sont pas conformes aux dispositions de l’article 82 de la loi » Informatique et Libertés » telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD.
III. Sur le prononcé de mesures correctrices et la publicité
119. L’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit que : » lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]
7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83. «
L’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi » Informatique et Libertés « , prévoit quant à lui que » Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives « , avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
A. Sur le prononcé d’une amende administrative et son montant
120. La société fait d’abord valoir que la démonstration par la rapporteure de la gravité du manquement et du nombre de personnes concernées au soutien de sa proposition de sanction est insuffisante.
121. Elle avance également que les développements de la rapporteure relatifs à la portée du manquement et aux avantages financiers perçus du fait du manquement seraient inopérants dès lors que les boutons glissants figurant sur la seconde fenêtre sont désactivés par défaut, de sorte qu’un utilisateur distrait qui cliquerait sur le bouton » Accepter les cookies » situé au bas de cette seconde fenêtre ne verrait aucun cookie déposé dans son terminal.
122. La formation restreinte rappelle, à titre général, que l’article 20, paragraphe III, de la loi » Informatique et Libertés » lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement. La détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD auquel cet article renvoie.
123. En premier lieu, en ce qui concerne le prononcé d’une amende administrative, la formation restreinte considère qu’il convient premièrement de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la nature, de la portée du traitement et du nombre de personne concernées par ce dernier.
124. Elle relève tout d’abord qu’en ne respectant pas les exigences de l’article 82 de la loi » Informatique et Libertés « , la société ne permet pas aux utilisateurs résidant en France se rendant sur la page web » facebook.com » de refuser les cookies aussi facilement que de les accepter. En les privant de cette véritable liberté de choix, la société incite fortement les utilisateurs à consentir au dépôt de cookies publicitaires.
125. La formation restreinte souligne la portée du réseau social Facebook et la place incontournable qu’il occupe en France, dès lors qu’il domine de loin le marché des réseaux sociaux, comme l’a relevé l’Autorité de la concurrence dans son avis n° 18-A-03 du 6 mars 2018. Elle remarque par ailleurs les » effets de réseau » engendrés par cette position dominante, mis en évidence par l’autorité de la concurrence allemande dans une décision du 6 février 2019.
126. Elle insiste sur le fait que ce manquement est d’autant plus dommageable pour les personnes concernées que, parallèlement à sa fonction traditionnelle de maintien et de développement des relations interpersonnelles, ce réseau social prend également une place croissante dans des domaines aussi divers que l’accès à l’information, le débat public, voire la sécurité civile via la fonctionnalité » contrôle d’absence de danger Facebook » (ou » safety check « ) en cas de catastrophe naturelle ou d’attentat, qui sont d’une importance certaine dans une société démocratique.
127. Elle souligne par ailleurs que le traçage des personnes concernées, qui commence par le recueil des informations liées au compte utilisateur et qui continue tout long de la navigation de l’utilisateur sur Facebook, dans une finalité publicitaire clairement reconnue par le responsable de traitement, ne s’arrête pas aux frontières du réseau social.
128. Il n’est pas discuté que Facebook met à la disposition de très nombreux sites tiers un ensemble d’outils de traçage – tels que des plugins sociaux, des boutons de connexion ou le pixel Facebook – qui vont continuer à collecter les données des utilisateurs visitant ces sites tiers pour les croiser avec les données déjà collectées dans le cadre du réseau social et ce afin d’augmenter la valorisation de ces données. Une étude de 2019 ayant révélé la présence de ces outils de traçage Facebook sur 44% des 65 000 sites web les plus consultés au monde, la portée indirecte du traitement est donc considérable.
129. Enfin, s’agissant du nombre de personnes concernées par le traitement en cause, la formation restreinte rappelle que, selon les propres éléments de volumétrie fournis par la société, le réseau social comptabilise environ […]d’utilisateurs mensuels en France, ce qui correspond à […] % de la population.
130. Deuxièmement, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2, du RGPD relatif aux avantages financiers obtenus du fait du manquement.
131. A cet égard, elle relève que dans la mesure où Facebook suit un modèle d’affaires dit de » mise en relation de contenus ciblés » ( » targeted content matching « ), opérant à la fois dans la collecte des données, leur valorisation et la mise en œuvre opérationnelle des publicités diffusées dans les bannières déployées au sein du réseau social, la performance de son modèle d’affaires repose principalement sur les outils de ciblage et notamment sur les cookies, lesquels permettent de singulariser et d’atteindre l’utilisateur identifié en vue de lui proposer du contenu publicitaire adapté à ses centres d’intérêts et à son profil.
132. En l’occurrence, la formation restreinte estime que le manquement en cause procure des avantages financiers indéniables à la société, dès lors que le fait d’opter pour un parcours facilitant davantage le dépôt des cookies que le refus augmente la part des utilisateurs auprès desquels les cookies publicitaires sont susceptibles d’être déposés et donc accroît également le volume des revenus publicitaires générés par le profilage auquel ces cookies participent.
133. Dans cette perspective, il ressort des éléments financiers de la société FACEBOOK INC., communiqués par la société FIL, que la première tire près de 98% de ses revenus bruts du segment de la publicité en ligne et qu’elle opère une marge opérationnelle mondiale d’environ 40% sur ce segment. Même si l’ensemble de ces revenus ne sont pas directement liés aux cookies, la formation restreinte souligne que ce segment repose essentiellement sur le ciblage des internautes, auquel le cookie participe directement en permettant de singulariser et d’atteindre l’utilisateur identifié en vue de lui afficher du contenu publicitaire correspondant à ses centres d’intérêt et à son profil.
134. En l’occurrence, si elle n’a pas connaissance du montant du bénéfice tiré par le groupe Facebook de la collecte et de l’exploitation de cookies sur le marché français via le revenu généré par la publicité ciblée visant des internautes français, la formation restreinte relève qu’une approximation proportionnelle à partir des données chiffrées dont elle dispose, notamment le revenu moyen généré par un utilisateur européen pour le segment de la publicité en ligne et le nombre d’utilisateurs résidant en France, conduirait à estimer que la France contribuerait au résultat net de la société FACEBOOK INC., la société-mère du groupe Facebook, aujourd’hui nommée META PLAFORMS INC., pour un montant compris entre 550 et 660 millions d’euros.
135. En second lieu, en ce qui concerne la détermination du montant de l’amende, la formation restreinte rappelle qu’en application des dispositions de l’article 20, paragraphe III, de la loi » Informatique et Libertés « , la société FIL encourt une sanction financière d’un montant maximum de 2% de son chiffre d’affaires, lequel était de […] d’euros en 2019.
136. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de 60 millions d’euros à l’encontre de la société apparaît justifiée.
B. Sur le prononcé d’une injonction assortie d’une astreinte
137. Dans ses écritures du 8 octobre 2021, la société a indiqué qu’une mise à jour de son interface de recueil du consentement aux cookies serait en cours de déploiement dans la région européenne, y compris en France, sans toutefois produire de justificatif. Elle précisait que » cette mise à jour pour la région européenne n’introduit pas de finalités supplémentaires pour les cookies, pas plus qu’elle n’ajoute de nouveaux cookies » et qu’elle vise à » améliorer l’ergonomie de l’interface « .
138. Le 6 décembre 2021, la société a communiqué des captures d’écran rendant compte de la nature de cette mise à jour.
139. En premier lieu, la formation restreinte constate que cette mise à jour modifie notamment le contenu des boutons de la première fenêtre » Gérer les paramètres de données » et » Tout accepter « , qui s’intitulent respectivement désormais » Autres options » et » Autoriser tous les cookies » et que dans la seconde fenêtre l’ancien bouton unique » Autoriser les cookies » s’intitule désormais » Autoriser uniquement les cookies essentiels » et qu’à côté la société y a introduit un second bouton intitulé » Autoriser tous les cookies « .
140. La formation restreinte relève que, conformément aux explications déjà évoquées au cours de la séance et répétées par la société dans le courrier accompagnant ces captures d’écran, cette mise à jour ne concerne que les » utilisateurs connectés sur le site www.facebook.com « , ce que des vérifications informelles lui ont effectivement permis de constater.
141. Par ailleurs, et surtout, la formation restreinte remarque que cette mise à jour ne met toujours pas en place des moyens permettant de refuser les cookies aussi facilement qu’ils peuvent les accepter.
142. Par conséquent, dès lors que l’interface résultant de cette mise à jour n’est toujours pas conforme aux dispositions de l’article 82 de la loi » Informatique et Libertés « , telles qu’éclairées par les exigences renforcées en matière de consentement posées par le RGPD, la formation restreinte estime nécessaire le prononcé d’une injonction afin que la société se mette en conformité avec les obligations applicables en la matière.
143. En second lieu, la formation restreinte rappelle qu’une astreinte journalière est une pénalité financière par jour de retard que devra payer le responsable de traitement en cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu. Son prononcé peut donc parfois s’avérer nécessaire pour s’assurer de la mise en conformité du responsable de traitement sous un certain délai.
144. La formation restreinte ajoute qu’afin de conserver à l’astreinte sa fonction comminatoire, son montant doit être à la fois proportionné à la gravité des manquements commis et adapté aux capacités financières du responsable de traitement. Elle relève, par ailleurs, que pour la détermination de ce montant il doit également être tenu compte du fait que le manquement concerné par l’injonction participe indirectement aux bénéfices générés par le responsable de traitement.
145. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de trois mois.
C. Sur la publicité de la décision
146. La société demande à la formation restreinte de ne pas rendre publique sa décision.
147. La formation restreinte considère au contraire que la publicité de la présente décision se justifie au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées.
148. Elle relève également que cette mesure permettra d’alerter les utilisateurs du réseau social Facebook résidant en France de la caractérisation du manquement à l’article 82 de la loi » Informatique et Libertés » dans ses différentes branches et de les informer de la persistance du manquement au jour de la présente délibération et de l’injonction prononcée à l’encontre de la société pour y remédier.
149. Enfin, elle estime que cette mesure n’est pas disproportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société FACEBOOK IRELAND LIMITED d’un montant de soixante millions d’euros (60 000 000 d’euros) au regard du manquement constitué à l’article 82 de la loi » Informatique et Libertés » ;
• prononcer à l’encontre de la société FACEBOOK IRELAND LIMITED, une injonction de modifier, sur le site web » facebook.com « , les modalités de recueil du consentement des utilisateurs situés en France aux opérations de lecture et/ou d’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ;
• assortir l’injonction d’une astreinte de cent mille euros (100 000 euros) par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication ;
• adresser sa délibération à la société FACEBOOK FRANCE en vue de son exécution.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.