La CNIL a sanctionné, le 29 décembre 2022, le réseau social TIKTOK de 5 millions d’euros de pénalité sur la base de deux fondements. D’abord, les utilisateurs du réseau social ne pouvaient pas refuser les cookies aussi aisément que les accepter. Le second fondement était que les utilisateurs de TIKTOK n’étaient pas informés de façon suffisamment précise des objectifs que ces différents cookies poursuivaient.
L’exemple d’une procédure qui mène à une sanction
Entre mai 2020 et juin 2022, la CNIL a effectué plusieurs contrôles en ligne sur le site web « tiktok.com ». Elle a également fait de nombreux contrôles sur pièces, ce qui consiste à contrôler sur la base de documents demandés directement à la société par la CNIL. Les contrôles en cause ont exclusivement porté sur le site TIKTOK, espace non authentifié, contrairement à l’application mobile connue de tous désormais, principalement grâce aux confinements qui ont permis de faire développer l’activité de la société. Sur la base des constatations effectuées lors des contrôles, la formation restreinte, qui s’avère être un organe de la CNIL chargé de prononcer les sanctions, a considéré que les sociétés TIKTOK du Royaume-Uni et de l’Irlande avaient manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.
La sanction décidée a donc été une amende. Le montant de cette amende a donc été décidé au regard des manquements retenus, du nombre de personnes concernées, et particulièrement considérant le nombre de mineurs en cause, et des nombreuses communications antérieures de la CNIL sur le fait qu’il doit être aussi simple de refuser les cookies que de les accepter.
Les manquements relevés des dispositions de la loi Informatique et Libertés
Lors de ce fameux contrôle de juin 2021, la Commission a constaté que si les deux sociétés TIKTOK en cause proposaient effectivement une option qui permettait d’accepter immédiatement les cookies, elles ne mettaient pas en place de solution équivalente pour permettre à l’utilisateur de les refuser aussi facilement. Effectivement, la CNIL avait relevé que plusieurs opérations et manipulations étaient nécessaires pour refuser tous les cookies, contre un seul clic pour les accepter. La formation restreinte chargée des sanctions a, par conséquent, considéré que le fait de rendre le mécanisme de refus plus complexe revenait en réalité à décourager les utilisateurs de refuser les cookies, ce qui avait pour conséquence de les inciter à privilégier la facilité du bouton « Tout accepter ». Elle en a conclu que ce processus « portait atteinte à la liberté du consentement des internautes et constituait une violation de l’article 82 de la loi Informatique et Libertés » puisqu’il n’était pas aussi simple de refuser les cookies que de les accepter au moment du contrôle en ligne de juin 2021 et jusqu’à la mise en place d’un bouton « Tout refuser » en février 2022. De plus, les utilisateurs de la plateforme n’étaient pas renseignés de façon suffisamment nette des finalités ou objectifs des cookies, tant sur le bandeau informatif du premier niveau que dans l’interface de choix accessible après avoir accédé au lien présent dans la bannière. La formation restreinte a donc conclu à plusieurs manquements à l’article 82 de la loi Informatique et Libertés.
Une compétence matériellement reconnue à la CNIL
Suite à ces évènements, il est intéressant de se demander si la CNIL est réellement compétente pour sanctionner une société. La CNIL est effectivement matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes situés en France. Le procédé de coopération prévu par le RGPD (règlement général sur la protection des données), le mécanisme de « guichet unique » n’a pas vocation à s’appliquer dans ces procédures dans la mesure où les opérations liées à l’utilisation des cookies relèvent de la directive de l’Union Européenne « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés en droit interne. Après avoir admis qu’effectivement, la CNIL est matériellement compétente sur ce genre de litige, il faut concevoir le fait qu’elle soit également compétente territorialement. En effet, il faut alors appliquer l’article 3 de la loi précitée car le recours aux cookies est effectué dans le cadre des activités de la société TIKTOK SAS qui constitut ce que l’on pourrait qualifier d’établissement sur le territoire français des sociétés TIKTOK Royaume-Uni et Irlande. Elle a également estimé que les deux sociétés en cause sont conjointement responsables dès lors qu’elles déterminent toutes les deux, corrélativement, les finalités et les moyens liés à l’usage des cookies.