Dans quel contexte exactement se situe cette décision ?
Pour comprendre cette décision de la CNIL il convient de prime abord de s’intéresser au contexte dans lequel celle-ci se situe. En effet, la CNIL est intervenue à différentes reprises entre 2020 et 2022 afin d’effectuer des missions de contrôles, aussi bien en ligne sur le site internet du réseau social que sur pièces (ici, elle a effectué des missions de contrôle concernant des documents qui avaient été demandé au réseau social). Il est utile de noter ici que les contrôles ont bel et bien été effectués sur le site internet du réseau social et aucunement sur l’application mobile du même réseau. Ces contrôles ont plus spécifiquement été effectué dans un espace dit non authentifié dudit site.
À consulter
Le consentement au dépôt et à la lecture de cookies
Suite à ces contrôles et suite aux observations qui ont pu être faites, la formation restreinte de la CNIL, c’est-à-dire l’organe qui doit notamment prononcer les sanctions, en est venue à la conclusion que la société TikTok Information Technologies UK Limited et la société TikTok Technology Limited, respectivement les sociétés TikTok Royaume-Uni et TikTok Irlande, ont inexorablement manqué aux obligations qui découlent des dispositions contenues au sein de l’article 82 de la loi Informatique et Libertés susmentionnée.
Cette sanction importante sur le plan pécunier a pour base notamment les manquements effectivement observés et retenus par la formation restreinte mais également le nombre d’individus concernés et finalement l’ensemble des échanges qui avaient précédemment eu lieu et qui provenaient de la CNIL concernant plus spécifiquement le constat selon lequel il était plus simple pour les internautes d’accepter les cookies que de les refuser.
Quid de la méconnaissance des dispositions de la loi Informatique et Libertés ?
Lorsque les utilisateurs se rendent sur les sites internet, les sociétés exploitant ces mêmes sites se servent de cookies, c’est-à-dire des traceurs que ces derniers placent sur les terminaux des utilisateurs lorsqu’ils entrent et naviguent sur ces sites. Ces cookies sont notamment utilisés à des fins commerciales en ce qu’ils permettent de rechercher les habitudes de consommation des internautes et ce, dans le but principal de leur fournir un contenu individualisé, personnalisé. C’est souvent ce qui arrive dès lors qu’un internaute dépose un « like », commente ou partage sur une publication. Celui-ci recevra ensuite une ou plusieurs recommandations relativement au contenu effectivement « liké », commenté voire partagé.
À consulter :
La protection des libertés par la commission nationale de l'informatique et des libertés (CNIL)
Ces premières constatations étant effectuées, il convient tout de suite de souligner le fait que les dispositions de l’article 82 susmentionnées et qui s’intéressent spécifiquement au dépôt de traceurs, et donc par extension de cookies, disposent que le consentement des internautes doit non seulement « être libre » en la matière, mais aussi « spécifique, éclairé et univoque ». Au surplus, ce même consentement doit pouvoir être révoqué ou bien simplement refusé. En fait, il convient de retenir que le consentement doit être accordé mais également retiré à chaque instant dans les mêmes conditions, autrement dit de la manière la plus simple possible. Ce sont ces mêmes dispositions qui ont été méconnues par les deux sociétés TikTok Royaume-Uni et Irlande.
En effet, il découle des constatations opérées par la CNIL, à l’occasion des contrôles dont nous avons fait mention dans le développement ci-dessus, que lesdites sociétés présentaient aux internautes, qui fréquentaient leur site, un bouton afin de recueillir leur consentement sans pour autant leur proposer la même fonctionnalité au regard de leur refus possible. En vérité et pour aller plus loin dans la compréhension de cette décision, la CNIL a retenu que le système instauré afin de refuser les cookies pour les internautes, s’il était bien accessible, ne l’était pas de même manière que celui pour les accepter. Surtout il est plus difficile pour les utilisateurs de les refuser. Il ressort de cette décision qu’un seul clic était nécessaire aux internautes pour accorder leur consentement contre plusieurs clics à l’effet de le refuser.
Il s’agit, en d’autres termes, de décourager complètement les internautes en les encourageant uniquement à donner leur consentement. Compte tenu de ces constatations, la CNIL a ainsi pu retenir que ce stratagème, mis en place par les sociétés TikTok visées par les enquêtes, méconnaissait purement et simplement le principe inhérent à la liberté du consentement des internautes ce qui, in fine, ne pouvait résulter sur autre chose qu’une méconnaissance du contenu de l’article 82 susmentionné. Aussi, et pour fonder sa décision, la CNIL a pu relever que le devoir d’informer les utilisateurs, quant à la manière dont sont utilisés les cookies recueillis, avait lui aussi été méconnu.
À consulter
Quid enfin de la compétence matérielle de la CNIL ?
Il est prévu en droit français que la CNIL revêt la nature de l’autorité indépendante en charge de l’informatique, des communications électroniques mais également de toutes autres questions inhérentes au numérique, à l’image donc de l’utilisation des cookies.
À consulter
Toutefois s’est posé la question de savoir quelle est la compétence matérielle de la CNIL en la matière ? Ce qui est intéressant, juridiquement, à retenir réside dans le fait que sa compétence n’est aucunement fondée sur le règlement général sur la protection des données (c’est-à-dire le très célèbre RGPD) mais bien sur la directive dite « e-Privacy » qui fut transposé au sein des dispositions de l’article 82 en question dans nos développements ci-dessus.
Mi-septembre 2023, le réseau social chinois a de nouveau été condamné, cette fois-ci par la CNIL irlandaise pour méconnaissance des règles du RGPD. Nous nous intéresserons à cette condamnation dans un prochain article.
