La Cnil, gendarme français des données personnelles, a annoncé mardi la mise en demeure d'une "vingtaine d'organismes", dont des géants du web non identifiés, pour n'avoir pas permis de refuser facilement les cookies, ces traceurs informatiques critiqués de longue date par les défenseurs de la vie privée.

Les contrôles débutés en avril "ont permis de constater qu'un certain nombre d'organismes ne permettaient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter", explique le régulateur dans un communiqué.

Les organismes visés sont "principalement d'importantes sociétés de l'économique numérique" dont "des acteurs internationaux", mais les mises en demeure étant non publiques aucun nom n'a été dévoilé.

Les sociétés et acteurs publics concernés ont un mois pour se mettre en conformité et encourent des sanctions pouvant aller jusqu'à 2% du chiffre d'affaires, indique la Cnil.

"Il s’agit de la première campagne de vérifications et de mesures correctrices depuis l’expiration (le 1er avril) du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies. Des actions similaires seront conduites au cours des prochains mois", rappelle-t-elle.

En octobre 2020, la Commission nationale informatique et libertés avait publié sa "recommandation" sur la publicité ciblée, fruit d'un long travail de concertation pour appliquer les principes du Règlement général européen sur la protection des données (RGPD), entré en vigueur en 2018.

- "Défaillance du RGPD vis-à-vis des Gafam"

Le règlement prévoit notamment un consentement explicite au recueil des données personnelles. Concrètement, le régulateur avait précisé en octobre qu'il souhaitait que sur les bandeaux de recueil du consentement, le bouton "Refuser tout" soit aussi facile d'accès que "Tout accepter".

La Cnil avait laissé six mois aux éditeurs de sites et d'applications mobiles pour s'adapter. Dans l'intervalle, elle avait toutefois sanctionné Google et Amazon avec des amendes records de 100 et 35 millions d'euros en raison de bandeaux d'information non conformes, sur la base d'une législation antérieure au RGPD.

Mais pour l'association de défense des libertés numériques la Quadrature du net, "la Cnil (a) offert sans justification trois années de répit aux sites web violant la loi."

Dans un communiqué, l'association regrette que sur cinq plaintes déposées en 2018 contre Google, Amazon, Apple, Facebook et LinkedIn (filiale de Microsoft), aucune n'ait abouti.

"La défaillance du RGPD vis-à-vis des Gafam est si totale et flagrante qu’il est difficile d’imaginer qu’elle ne soit pas volontaire ou, tout le moins, sciemment permise", accuse la Quadrature du net.

"Le cadre juridique applicable en matière de cookies et traceurs est ancien et de plus en plus clair", explique à l'AFP Sylvain Staub, avocat associé chez DS Avocats et président-fondateur de Data Legal Drive, une société d'aide à la mise en conformité avec le RGPD.

"Les sociétés dont les sites ne sont pas en conformité ont délibérément décidé d'exploiter des cookies en violation des textes et au détriment de internautes. (...) Ce sont surtout les sociétés qui vivent de la publicité et des statistiques de navigation", ajoute-t-il.

Selon lui, "la Cnil est encore dans une logique de pédagogie mais les mises en demeures sont un signal envoyé au marché pour dire qu'à partir de maintenant elle surveille et elle sanctionne".