TikTok condamné à une amende en France pour un flux de consentement de cookie manipulateur • TechCrunch

TikTok est le dernier géant de la technologie à avoir été formé par l’organisme de surveillance français de la protection des données pour avoir enfreint les règles sur le consentement aux cookies.

L’amende de 5 millions d’euros annoncée aujourd’hui par la CNIL concerne un flux de consentement aux cookies que TikTok avait utilisé sur son site Web (tiktok.com) jusqu’au début de l’année dernière – dans lequel le régulateur a estimé qu’il n’était pas aussi facile pour les utilisateurs de refuser les cookies que d’accepter eux – il s’agissait donc essentiellement de manipuler le consentement en permettant aux visiteurs du site d’accepter plus facilement son suivi que de se retirer.

Ce fut le cas lorsque le chien de garde s’est renseigné sur le processus de TikTok, en juin 2021, jusqu’à la mise en place d’un bouton “Tout refuser” sur le site en février 2022 – qui semble avoir résolu le problème. (Et peut expliquer l’amende relativement faible infligée dans cette affaire, ainsi que le nombre d’utilisateurs et de mineurs concernés – ainsi que l’application concernant uniquement son site Web, pas son application mobile.)

Les cookies de suivi sont généralement utilisés pour diffuser de la publicité comportementale, mais peuvent également être utilisés pour d’autres activités du site, telles que l’analyse.

« Lors du contrôle effectué en juin 2021, la CNIL a constaté que si les sociétés TikTok Royaume-Uni et TikTok Irlande proposaient bien un bouton permettant d’accepter immédiatement les cookies, elles n’avaient pas mis en place de solution équivalente (bouton ou autre) pour permettre l’internaute de refuser tout aussi facilement son dépôt. Plusieurs clics ont été nécessaires pour refuser tous les cookies, contre un seul pour les accepter », note l’organisme de surveillance dans un communiqué. [translated from French with machine translation].

“La formation restreinte a considéré que complexifier le mécanisme de refus revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton “Tout accepter””, a-t-elle ajouté, estimant que TikTok avait ainsi enfreint une obligation légale de liberté de consentement — une violation de l’article 82 de la Loi Informatique et Libertés « puisqu’il n’était pas aussi simple de refuser les cookies que de les accepter ».

Par ailleurs, la CNIL a constaté que TikTok n’avait pas informé les utilisateurs “de manière suffisamment précise” des finalités des cookies — tant sur le bandeau d’information présenté au premier niveau du consentement aux cookies que dans le cadre de l'”interface de choix” qui était accessible après avoir cliqué sur un lien présenté dans le bandeau. Constatant ainsi plusieurs manquements à l’article 82.

L’application française a été prise en vertu de la directive ePrivacy de l’Union européenne – qui, contrairement au règlement général sur la protection des données (RGPD) de l’UE, n’exige pas que les plaintes qui affectent les utilisateurs à travers le bloc soient renvoyées à un superviseur principal des données dans un pays de l’UE de établissement principal (si une entreprise revendique ce statut – comme TikTok le fait avec l’Irlande pour le RGPD).

Cela a permis au régulateur français d’émettre une série d’applications contre les infractions aux cookies Big Tech ces dernières années – frappant Amazon, Google, Facebook et Microsoft avec de lourdes amendes (et des ordonnances de correction) depuis 2020, à la suite d’une mise à jour de 2019 de son des conseils sur la directive ePrivacy qui stipule que le consentement est nécessaire pour le suivi des publicités.

L’activité de la France pour nettoyer le consentement aux cookies semble être un complément important à l’application transfrontalière plus lente du RGPD – qui commence tout juste à avoir un impact sur les modèles commerciaux basés sur la publicité centrés sur le suivi sans consentement, comme les décisions finales contre Facebook et Instagram publié par la Commission irlandaise de protection des données plus tôt ce mois-ci.

Si les géants de la publicité de suivi et de profilage sont obligés de s’appuyer sur l’obtention du consentement de l’utilisateur pour diffuser de la publicité comportementale, il est essentiel que la qualité du consentement recueilli soit libre et équitable – et non manipulée en déployant des astuces de conception trompeuses, comme c’est généralement le cas – donc le L’application des cookies ePrivacy par la CNIL semble importante.

Ce n’est que l’été dernier, par exemple, que TikTok a été empêché de ne plus s’appuyer sur le consentement de l’utilisateur comme base juridique pour le traitement des données des personnes afin de diffuser des publicités « personnalisées » à une revendication d’intérêt légitime comme base juridique (ce qui implique qu’il avait l’intention de cesser de demander aux utilisateurs pour leur consentement) après l’intervention des autorités de protection des données de l’UE qui l’ont avertie qu’une telle décision serait incompatible avec la directive ePrivacy (et enfreindrait probablement également le RGPD).

Bien que les mesures d’application en vertu de l’ePrivacy ne s’appliquent que sur le propre marché du régulateur (la France, dans ce cas), l’impact de ces décisions peut être plus large. Google, par exemple, a suivi une sanction de la CNIL en révisant la façon dont il recueille le consentement aux cookies dans toute l’UE. Ce n’est peut-être pas la façon dont chaque entreprise réagit, mais il y a probablement un coût associé à l’application de différentes configurations de conformité pour différents marchés de l’UE – par rapport à l’application d’une seule norme (élevée) sur tous les marchés de l’UE. L’application d’ePrivacy peut donc aider à fixer la barre de l’UE.

TikTok a été contacté pour commenter la sanction de la CNIL. Un porte-parole de l’entreprise nous a envoyé cette déclaration :

Ces conclusions concernent des pratiques passées que nous avons abordées l’année dernière, notamment en facilitant le rejet des cookies non essentiels et en fournissant des informations supplémentaires sur les objectifs de certains cookies. La CNIL elle-même a souligné notre coopération au cours de l’enquête et la confidentialité des utilisateurs reste une priorité absolue pour TikTok.

Laisser un commentaire