La France frappe Google avec 170 millions de dollars, Facebook 68 millions de dollars pour des modèles sombres de consentement aux cookies

Autre craie de la décentralisation : l’organisme de surveillance français de la protection des données a infligé une amende à Facebook et Google pour ne pas avoir respecté les règles locales de consentement aux cookies (et les règles de l’UE).

Aujourd’hui, la CNIL Il a dit Google a été condamné à une amende de 150 millions d’euros (environ 170 millions de dollars) et Facebook de 60 millions d’euros (environ 68 millions de dollars) pour avoir enfreint la loi française, à la suite d’enquêtes sur la manière dont il a fourni des options de suivi aux utilisateurs de google.fr, youtube.com et facebook.com.

L’autorité a déclaré avoir agi après avoir reçu un certain nombre de plaintes.

En violation apparente de la législation européenne et française, j’ai constaté que la paire n’offre pas aux utilisateurs la possibilité de refuser les cookies non essentiels aussi facilement que la possibilité qu’ils leur donnent d’accepter tout suivi.

Donc, en bref, les géants de la technologie ont utilisé des modèles sombres manipulateurs pour essayer de forcer l’approbation.

Ceci est un extrait de la CNIL communiqué de presse:

En vertu du droit de l’UE, si le consentement est la base juridique requise pour le traitement des données des personnes, il existe des critères stricts qui doivent être respectés – le consentement doit être éclairé, spécifique et librement donné afin d’être obtenu légalement.

Les plaintes de longue date contre Facebook et Google concernant des problèmes d’approbation similaires restent du côté du bureau de la Commission irlandaise de la protection des données (DPC), qui, en vertu du règlement général sur la protection des données (RGPD) de l’UE, est un guichet unique (un seul magasin) OSS) outil de mise en œuvre semi-central pour la plupart des grandes technologies.

L’histoire continue

DPC a été accusé d’être lent à surveiller le PIB des géants de la technologie et de créer un goulot d’étranglement pour une application efficace des réglementations, car l’OSS encourage le shopping sur les forums – et l’économie irlandaise à faible imposition des sociétés semble trop heureuse d’obliger les entreprises clientes à une mauvaise décision réglementaire également.

Notamment, la CNIL prend des mesures contre Facebook et Google en vertu d’une législation européenne antérieure – la directive sur la confidentialité électronique – qui attribue la compétence aux agences nationales sur leurs territoires. Ainsi, les Français continuent de trouver des moyens innovants pour mettre en œuvre les normes de protection des données GDPR au niveau national, malgré l’interdiction irlandaise de l’OSS et du GDPR.

Il y a une ironie particulière ici, dans le fait que Google et Facebook se sont impliqués dans cette Efforts de lobbying régionaux pour retarder la mise à jour prévue de la directive e-Privacy – qui aurait pu être remplacée par une ardoise, comme nous l’avons déjà informé.

la Liste de confidentialité électronique Il n’a pas encore été approuvé – bien qu’il ait été suggéré en 2017 ! Ce qui crée des incohérences entre le droit de l’UE. Mais cela laisse également les régulateurs des États membres comme la CNIL libres d’appliquer les règles de confidentialité électronique au sein de leurs juridictions, tout en conservant le pouvoir décentralisé de sanctionner les grandes technologies sur leur sol en vertu de la directive sur la confidentialité électronique. Alors, hein, oups ! Cela s’est avéré être un bug assez coûteux pour Facebook et Google en France au moins.

Le régulateur en France a été particulièrement occupé à ce sujet – a infligé une amende de 100 millions d’euros à Google décembre 2020 Pour supprimer les cookies de suivi sans consentement. Dans le même temps, cela a également amené Amazon à atteindre 35 millions d’euros en raison du même problème.

Auparavant, la CNIL avait réussi à obtenir une amende RGPD anticipée contre Google – Tout le chemin du retour en 2019 – Avant que l’entreprise ne réalise son exposition juridique et ne déplace l’entité juridique qui gère les données des utilisateurs de l’UE des États-Unis vers l’Irlande afin que ses activités régionales soient soumises à la surveillance du DPC « moins robuste ».

Jusqu’à présent, Google n’a pas fait l’objet d’une seule sanction en vertu du RGPD en dehors de l’Irlande – malgré le nombre de plaintes très importantes et de longue durée déposées contre lui, dont plus de Consentement forcé; Traitement des données de localisation; et son adtech.

Non seulement les plaintes se poursuivent contre les géants de la technologie pour violations systématiques de la législation de l’UE sur la protection des données et contre DPC pour ses antécédents embarrassants en matière d’application – et Même en ce qui concerne la corruption présumée, dans une accusation plus récente contre l’Irlande – mais aussi contre la Commission européenne elle-même être accusé Ne pas s’acquitter de son obligation de surveiller l’application du RGPD au niveau des États membres.

Le comité est intervenu oralement à la fin de l’année dernière – Avec un avertissement direct aux agences de protection des données que la mise en œuvre du RGPD doit devenir « efficace » rapidement, sinon elle a suggéré que les APD seraient confrontées à un tel pouvoir – en faveur d’une application centralisée par l’exécutif de l’UE.

Dans le même temps, Google et Facebook ont ​​été critiqués par un panel qui a accusé les géants de la haute technologie de choisir des escroqueries légales plutôt que de se conformer véritablement aux normes de confidentialité du bloc, avec un avertissement de la commissaire Vera Jourova :Il est temps pour ces entreprises de prendre au sérieux la protection des données personnelles. Je veux voir une conformité totale, pas des escroqueries légales. Il est temps de ne pas se cacher derrière les petits caractères, mais de relever les défis de front.

Mais malgré quelques grèves lancées, la commission semble réticente à intervenir et à imposer des sanctions à l’Irlande. Il a donc été laissé aux États membres comme la France de faire valoir le point d’une autre manière – c’est-à-dire en faisant en sorte que leurs agences indiquent clairement que la mise en œuvre est non seulement possible, mais également en cours.

(Voir également: L’autorité française de surveillance de la concurrence prend des mesures strictes contre Google, par example.)

En plus des amendes qui font la une des journaux aujourd’hui, la CNIL a ordonné à Facebook et Google de modifier la façon dont ils présentent les options de cookies aux utilisateurs en France – donnant au couple trois mois pour fournir aux utilisateurs locaux un moyen de refuser des cookies aussi simples que ceux déjà en vigueur. lieu. Moyens de leur acceptation – « afin d’assurer leur liberté de consentement ».

Le non-respect de la commande entraînera des pénalités supplémentaires pour les entreprises – 100 000 euros par jour de retard.

La CNIL focalise depuis un certain temps son contrôle sur les consentements aux cookies.

Le régulateur a fixé une date limite au 31 mars 2021 pour que les sites Web se conforment à Mettre à jour les directives des cookies qu’il a publié en octobre 2020. Depuis fin mars, il dit avoir adopté près de 100 « mesures correctives » (également appelées ordonnances et sanctions) liées au non-respect de la législation sur les cookies.

L’Irlande a également publié Mettre à jour les directives des cookies, en avril 2020 – lorsqu’il a déclaré qu’il donnerait aux sites Web et aux contrôleurs de données six mois pour se conformer avant de prendre des mesures coercitives.

Cependant, la DPC a montré une fois de plus qu’il n’y avait rien et pas de pantalon : n’infligeant aucune sanction générale pour les violations du consentement aux cookies contre les entités commerciales (et certainement rien contre Facebook ou Google sur ce front).

Décision du DPC contre WhatsApp appartenant à Facebook qui a été publiée tardivement L’année dernière Concentrez-vous sur les violations de la transparence.

Le montant de cette dernière pénalité WhatsApp – 267 millions de dollars – a également été considérablement gonflé après les interventions d’autres APD dans l’UE et le Conseil européen de la protection des données ; Le projet de résolution irlandais proposait une amende de seulement 50 millions d’euros. Pendant ce temps, Facebook cherche à échapper aux sanctions en faisant appel).

Un porte-parole de Meta/Facebook, contacté pour commenter la gifle de la CNIL en raison de l’approbation de cookies falsifiés, a déclaré :

Le géant de la technologie a également fait référence à un dossier publicité En septembre de l’année dernière, il a mis à jour ses « contrôles des cookies » locaux – lorsqu’il a déclaré qu’il donnerait aux Européens « un niveau de contrôle plus fin sur leurs choix de cookies et plus d’informations sur les différents types de cookies que nous utilisons ». d’autres applications et sites Web.

« Ce travail fait partie de nos efforts continus pour donner aux gens un plus grand contrôle sur leur vie privée et s’aligner sur l’évolution des exigences en matière de confidentialité, telles que le règlement général sur la protection des données (RGPD) et la directive sur la confidentialité électronique (ePD) », a-t-elle ajouté à l’époque.

Quel que soit le gâchis spécifique que Facebook a fait à l’époque, les changements n’ont pas semblé impressionner les Français.

Au moment de la rédaction, Google n’a pas répondu à une demande de commentaire sur la sanction CNIL mais nous mettrons à jour ce rapport si nous en obtenons un.

mettre à jour: Un porte-parole de Google a déclaré :