Archive pour le mot-clef ‘CNIL’

La CNIL frappe Google et Amazon au portefeuille pour leurs usages abusifs des cookies

Dimanche 13 décembre 2020

Google et Amazon ont été sanctionnés par de lourdes amendes, pour non-respect de la législation sur les cookies.

Après Carrefour le mois dernier, la CNIL s’attaque aux GAFAM, et inflige de lourdes sanctions de 100 millions d’euros à Google et de 35 millions d’euros à Amazon pour des infractions à la législation sur les cookies.

« La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a constaté, à la suite de contrôles, que lorsqu’un internaute se rendait sur les sites web google.fr et amazon.fr, des cookies publicitaires étaient déposés sur son ordinateur sans qu’il ait préalablement donné son accord », affirme la CNIL dans un communiqué diffusé aujourd’hui.

« Elle a ensuite relevé que les bandeaux d’information affichés lors de la consultation de ces sites ne contenaient pas d’informations suffisamment claires pour que l’internaute sache ce à quoi servent ces cookies et la façon dont il peut les refuser », ajoute la Commission.

Indigestion de cookies pour Google

La sanction envers Google se scinde en deux. La CNIL a décidé de sanctionner la société Google LLC d’une amende de 60 millions d’euros, et la société Google Ireland Limited d’une amende de 40 millions d’euros, après avoir relevé trois violations à l’article 82 de la loi Informatique et Libertés. A la suite d’un contrôle en ligne effectué sur le site google.fr en mars dernier, la CNIL reproche à la firme de Moutain View d’avoir déposé des cookies automatiques sur l’ordinateur du visiteur, sans recueil préalable du consentement.

La Commission dit constater un défaut d’information des utilisateurs du moteur de recherche, le bandeau situé en pied de page ne contenant « aucune information relative aux cookies », qui avaient pourtant déjà été déposés sur l’ordinateur de l’internaute dès son arrivée sur le site. « La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser », résume la Commission dans son avis.

Le régulateur reproche par ailleurs une défaillance partielle du mécanisme d’opposition. « Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché », explique l’autorité de contrôle.

Google défend son bilan

Il s’agit d’une amende record, mais ce n’est pas la première fois que la CNIL s’attaque à Google. En 2019, la commission avait infligé une amende de 50 millions d’euros à Google pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Il s’agissait, cette année-là, de la seule amende à dépasser le million d’euros.

« Les utilisateurs de Google s’attendent à ce que nous respections leur vie privée, qu’ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles » a déclaré un porte-parole de Google à ZDNet, en réaction à ces trois accusations.

La firme estime que le régulateur ne tient pas compte de ses efforts en matière de protection des utilisateurs : « la décision rendue par la CNIL en matière de « ePrivacy » fait l’impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL, pour mieux comprendre ses préoccupations à mesure que nous continuons d’apporter des améliorations sur nos produits et services ».

Amazon dans le viseur du régulateur

La CNIL s’attaque aussi au géant du commerce électronique sur la base des mêmes constats. La société Amazon Europe Core est sanctionnée d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr, sans consentement préalable et sans information satisfaisante, affirme la commission.

A la suite de plusieurs contrôles effectuées entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a constaté que des cookies étaient automatiquement déposés sur l’ordinateur du visiteur, sans action de sa part. Le régulateur observe par ailleurs un défaut d’information des utilisateurs du site amazon.fr, et des informations « ni claires ni complètes » au sujet de la finalité des cookies.

La CNIL a par ailleurs constaté que « le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web ». Dans ce cas de figure, « les mêmes cookies étaient déposés sans aucune information délivrée aux internautes ».

Amazon exprime son désaccord face à la sanction

Du côté d’Amazon, même son de cloche que chez Google. L’entreprise exprime son « désaccord avec la décision de la CNIL ». « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons », justifie l’entreprise, interrogée par ZDNet.

En complément, la firme de e-commerce détaille la manière dont elle a adapté le système des cookies pour ses clients. Elle explique avoir mis à jour les informations et options proposées aux clients quant à son utilisation des cookies, et ce, sur l’ensemble de ses boutiques en ligne de l’UE, du Royaume-Uni et de la Turquie. Elle précise que les clients ont la possibilité de mettre à jour leurs préférences en matière de cookies à tout moment en visitant la page dédiée.

Rappelons que la CNIL a publié le 1er octobre dernier ses lignes directrices modificatives, ainsi qu’une recommandation portant sur l’usage des cookies et autres traceurs. Ce guide réactualisé de la commission vient appuyer le principe du consentement explicite, rappelant que la simple poursuite de la navigation ne devait pas faire office de preuve. La CNIL précisait alors que seuls des cas très spécifiques pouvaient justifier de l’exemption du recueil de consentement, notamment l’authentification auprès d’un service ou le fait de garder en mémoire le contenu d’un panier sur un site marchand.

Source zdnet.fr

StopCovid : la CNIL met en demeure le ministère de la Santé de se conformer au RGPD

Jeudi 23 juillet 2020

Plusieurs irrégularités ont été décelées dans l’application de contact tracing, dont une deuxième version est déjà disponible.

L’application de contact tracing française n’est pas au bout de ses peines. Lors de ses travaux de vérification sur la nouvelle version de l’application StopCovid, la Cnil note que, si l’application respecte pour l’essentiel le RGPD et la loi Informatique et Libertés, elle soulève en revanche plusieurs irrégularités, notamment le recours au re-catcha Google dans l’information fournie au public et dans les contrats de sous-traitance.

Dans sa décision du 15 juillet 2020 rendue publique, l’autorité de régulation met le ministère des Solidarités et de la Santé en demeure d’y remédier dans un délai d’un mois.

StopCovid a été mise à jour à la suite des précédents contrôles réalisés par la Cnil au cours du mois de juin. Le régulateur avait en effet constaté dans la première version de l’application que l’adresse IP était régulièrement utilisée par le système de sécurité, dit anti-DDOS, déployé dans le cadre du service.

Si la première version de l’application faisait remonter l’ensemble de l’historique de contacts des utilisateurs au serveur central (et non les seuls contacts les plus susceptibles d’avoir été exposés au virus), la Cnil précise que ce problème est à présent résolu dans la nouvelle version déployée fin juin (version v1.1). « D’une part, la méthode d’authentification par captcha – qui permet de vérifier lors de l’activation initiale de l’application que cette dernière est utilisée par un être humain – qui reposait sur la technologie reCaptcha de la société Google, est désormais remplacée par la technologie captcha développée par la société Orange. D’autre part, une fonction de pré-filtre de l’historique des contacts de l’utilisateur qui se déclare positif au virus SARS-CoV-2, fondée sur des critères de durée et de distance du contact, est activée pour agir au niveau du téléphone de l’utilisateur. »

Mais l’autorité demande toutefois à ce que cette nouvelle version soit « généralisée à tous les utilisateurs de StopCovid » car à ce jour, les deux versions coexistent.

Manquement à l’obligation d’information

L’autorité estime aussi que certaines informations mériteraient d’être mentionnées. La Cnil constate en effet que l’information fournie aux utilisateurs du service est « quasiment conforme aux exigences du RGPD » et devrait être complétée sur quelques points, à savoir « les destinataires de ces données, les opérations de lecture des informations présentes sur les équipements terminaux (réalisées via le recaptcha) et le droit de refuser ces opérations de lecture », explique-t-elle.

La Cnil affirme, par ailleurs, que l’analyse d’impact relative à la protection des données réalisée par le ministère demeure incomplète concernant les « traitements de données réalisés à des fins de sécurité » (solution anti-DDOS collectant l’adresse IP et recaptcha). Or, selon l’autorité indépendante, « dès lors que cette solution de sécurité entraîne une collecte de données à caractère personnel, la description de cette opération de traitement doit apparaître dans l’analyse d’impact réalisée par le responsable de traitement ».

L’application StopCovid avait fait l’objet de fortes réticences dès son lancement. Le nombre d’utilisateurs de l’application a peiné à décoller : deux semaines après son lancement, celui-ci avoisinait difficilement les 1,7 million (soit 2 % de la population). Un chiffre guère suffisant pour impacter véritablement le mode de vie des utilisateurs. Le service toucherait dorénavant « près de 2 millions d’utilisateurs », précise la Cnil.

Source zdnet.fr