Dry cookies : les acteurs trop gourmands d’informations : TIK TOK et VOODOO à l’amende

L’article 82 de la loi informatique et liberté dispose notamment que Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

1. De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2. Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent donc avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

La CNIL vient d’avoir l’occasion de rappeler à nouveau la portée de ce texte de manière concrète.

1./ Le 29 décembre 2022 (décision publiée le 12 janvier 2023) , la CNIL a rendu une sanction contre le réseau social TIKTOK pour un montant total de 5 millions d’euros pour deux raisons :

1. les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter Ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies. La CNIL a constaté que si les sociétés TIKTOK ROYAUME-UNI et TIKTOK IRLANDE proposaient bien un bouton permettant d’accepter immédiatement les cookies, elles ne mettaient pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement leur dépôt. Plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter.

Ainsi, rendre le mécanisme de refus plus complexe revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ».

Ce procédé porte atteinte à la liberté du consentement des internautes puisqu’il n’était pas aussi simple de refuser les cookies que de les accepter. La mise en ligne d’un bouton « Tout refuser » n’est intervenue qu’en février 2022 après les contrôles opérés en 2021.

2. En second lieu, les utilisateurs n’étaient pas informés de façon suffisamment précise des finalités (objectifs) des cookies tant sur le bandeau d’informations au premier niveau que dans le cadre de l’interface de choix accessible après avoir cliqué sur un lien présent dans la bannière.

2./ Toujours le 29 décembre 2022 ( décision publiée le 17 janvier 2023) la CNIL a sanctionné la société VOODOO, éditrice de jeux pour smartphone, d’une amende de 3 millions d’euros pour avoir utilisé un identifiant essentiellement technique pour de la publicité sans le consentement de l’utilisateur.

Ainsi, à l’ouverture d’une application de jeu, une première fenêtre conçue par la société APPLE (App Tracking Transparency ou ATT) était présentée à l’utilisateur afin d’obtenir son consentement au suivi de ses activités sur les applications téléchargées sur son téléphone.

Lorsque que l’utilisateur refusait la « sollicitation ATT », une seconde fenêtre était présentée par la société VOODOO indiquant que le suivi publicitaire a été désactivé tout en précisant que des publicités non-personnalisées seront tout de même proposées.

La CNIL a pourtant constaté que lorsqu’un utilisateur exprime son refus de faire l’objet d’un suivi publicitaire, la société VOODOO lit tout de même l’identifiant technique associé à cet utilisateur (l’IDFV) et traite toujours des informations en lien avec ses habitudes de navigation pour des objectifs publicitaires, donc sans son consentement et en contradiction avec ce qu’elle lui indique dans l’écran d’information qu’elle affiche.

Mathieu MARTIN