Le 29 décembre 2022, une sanction de 5 millions d’euros a été infligée à l’encontre du réseau social Tiktok par la Commission nationale de l’informatique et des libertés (ci-après, la « Cnil »).
En effet, la société Tiktok ne permettait pas aux internautes de refuser les cookies aussi facilement que de les accepter. Ce qui allait à l’encontre de l’esprit de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après, la « loi Informatique et Libertés »).

La violation par Tiktok de la loi Informatique et Libertés.

Les sites internet utilisent des traceurs [1] qu’ils déposent sur les terminaux des internautes au moment de leur navigation. Ces traceurs analysent le comportement et les habitudes de consommation des utilisateurs afin de pouvoir leur proposer du contenu personnalisé. Par exemple, l’utilisateur reçoit des recommandations de contenus et de produits en fonction de ce qu’il a « liké », commenté ou partagé.

L’article 82 de la loi Informatique et Libertés prévoit, en matière de communication électronique et de dépôt de traceurs (comme les cookies), que le consentement de l’utilisateur soit libre, spécifique, éclairé, univoque et qu’il soit possible de s’y opposer et de le retirer, à tout moment, avec la même simplicité qu’il l’a été accordé.

En l’espèce, la Cnil a effectué plusieurs contrôles [2] sur le site web de Tiktok. Ces contrôles ont révélé que les sociétés « Tiktok Information Technologies UK Limited (Tiktok Royaume-Uni) et Tiktok Technology Limited (Tiktok Irlande) » avaient manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.

La Cnil [3] révèle avoir constaté, lors des contrôles, que lesdites sociétés proposaient aux utilisateurs un bouton pour recueillir leur consentement sans leur proposer dans le même temps un bouton ou un moyen équivalent leur permettant de refuser leur consentement.

La Cnil a considéré que les moyens mis en place pour refuser les cookies n’étaient pas aisément accessibles et ne permettaient pas aux utilisateurs de refuser facilement les cookies. L’autorité de contrôle a observé qu’il fallait plusieurs clics pour refuser contre un seul clic pour accepter.

Selon la Cnil, cette stratégie de Tiktok consiste à inciter les utilisateurs à accepter et à les décourager à refuser les cookies [4]. La formation restreinte de la Cnil a considéré qu’une telle stratégie contrevenait au principe de la liberté du consentement et constituait ainsi une violation de l’article 82 de la loi Informatique et Libertés. Les contrôles ont par ailleurs révélé que Tiktok avait également manqué à son devoir d’informer les utilisateurs [5] de manière précise sur les finalités des cookies utilisés.

Le fondement juridique de la compétence matérielle de la Cnil.

En France, la Cnil est l’autorité indépendante compétente en matière d’informatique, de communications électroniques et de tous les sujets relatifs au développement du numérique tel que les Cookies [6].

Cette compétence trouve son fondement juridique dans différents instruments juridiques tels que la loi Informatique et Libertés, le Règlement général sur la protection des données (ci-après, le « RGPD »), la directive ePrivacy, etc.

En l’espèce, on pourrait penser que la compétence de la Cnil est juridiquement fondée sur le RGPD à travers le mécanisme du « guichet unique » [7]. Or, ce mécanisme de coopération n’a pas vocation à s’appliquer dans des procédures relatives aux opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes situés en France. C’est sur la base de la directive « e-privacy », transposée à l’article 82 de la loi Informatique et Libertés que la Cnil s’estime compétente de se saisir de ce dossier.

Par ailleurs, la Cnil est territorialement compétente dans le cadre de ce dossier en vertu de l’article 3 de la loi Informatique et Libertés dans la mesure où le recours aux cookies est effectué dans le cadre des activités de la société Tiktok SAS qui constitue l’établissement sur le territoire français des sociétés Tiktok Information Technologies UK Limited (Tiktok Royaume-Uni) et Tiktok Technology Limited (Tiktok Irlande).

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).