La Commission nationale de l’informatique et des libertés (Cnil) a infligé mercredi deux amendes colossales à Google et Shein pour non-respect de la législation en matière de cookies publicitaires. Ces sanctions figurent parmi les plus lourdes jamais prononcées par l’autorité française, et marquent une nouvelle étape dans la stratégie de mise en conformité engagée depuis plus de cinq ans.
Google, multi-récidiviste sanctionné à 325 millions d’euros !
Après sa victoire aux USA contre le DOJ, c'est une belle défaite en France ! Dans la longue série des condamnations, le géant américain est particulièrement visé, avec une énorme amende de 325 millions d’euros, assortie d’une injonction de corriger ses pratiques dans un délai de six mois. Faute de quoi, Google et sa filiale irlandaise devront payer 100 000 euros d'astreinte par jour.
Il s’agit de la troisième condamnation du groupe en matière de cookies après 100 millions d’euros en 2020 et 150 millions en 2022. La Cnil évoque une négligence persistante, notamment sur la mise en place de cookies walls lors de la création de comptes Google, qui conditionne l’accès à certains services à l’acceptation de cookies. Si ce procédé n’est pas illégal en soi, il suppose un consentement clair et éclairé… qui faisait défaut selon l’autorité.
L'autre grief repose sur l’insertion de bannières publicitaires dans Gmail, visibles par 53 millions de comptes d’utilisateurs français ayant activé les fonctionnalités IA. Ces annonces constituent une forme de prospection directe et auraient dû, là encore, être soumises au consentement préalable.
Et comme une mauvaise nouvelle n'arrive pas seule : on apprend ce matin qu'une cour fédérale de San Francisco a aussi condamné Google à une amende de 425,7 millions de dollars de dommages et intérêts (soit environ 365 millions d'euros) pour collecte de données non autorisée. Forcément au vu des montant, le groupe entend faire appel de la décision...
Shein frappé de 150 millions d’euros
Mais le géant américain n'est pas le seul visé. En effet, le groupe de prêt-à-porter en ligne Shein devra régler une amende de 150 millions d’euros. La Cnil reproche au site, fréquenté par 12 millions d’utilisateurs par mois en France, d’avoir collecté des cookies sans consentement, de n’avoir pas suffisamment informé ses clients, et de proposer un mécanisme de retrait inopérant.
Shein a réagi immédiatement, dénonçant une sanction totalement disproportionnée et attribuant la sévérité de la décision à des considérations politiques. Le groupe a annoncé son intention de former un recours devant le Conseil d’État et la Cour de justice de l’Union européenne.
Des sanctions emblématiques
Pour la Cnil, ces décisions s’inscrivent dans une politique de contrôle accrue des géants du numérique, en particulier ceux dont les services touchent des dizaines de millions de Français. L’objectif est ici de rappeler qu'en droit français, le consentement doit être libre et éclairé, et que ces exigences ont été reprises dans le cadre de la réglementation européenne en matière de données personnelles.
Pour la Cnil, la récurrence des manquements du groupe justifie la sévérité de la sanction, quand bien même il existe des paramètres pour contrôler la publicité et des modifications récentes. Ces derniers ne sont pas activés par défaut et bien souvent trop cachés, dissuadant l'utilisateur moyen de fouiller dans les paramètres (c'est un peu comme les CGV écrites en police 5).
Avec ces amendes record, la Cnil confirme sa volonté de tenir tête aux géants du numérique, quitte à multiplier les bras de fer juridiques. Notons que Google et Shein disposent désormais de quatre mois pour faire appel de la décision.
