Comme nous l’avons annoncé, entre avril et juillet 2025, notre association a déposé, pour le compte d’environ cinquante personnes qui nous ont mandaté, une quarantaine de plaintes auprès de la CNIL concernant les cookies et les autres traceurs (sur une quarantaine de sites web, donc).

Nos griefs sont les mêmes d’un site web à un autre.

Cette semaine, la CNIL a achevé le traitement de quinze de « nos » plaintes. (Les autres sont toujours pendantes.)

Résultats

En résumé : la CNIL a rappelé leurs obligations à ces éditeurs et les a mis en demeure de se mettre en conformité sous deux mois.

Voici la décision de clôture pour chaque entité, dans l’ordre de clôture par la CNIL :

• Journal Ouest-France ;
• La Banque Postale ;
• Devellopez.com ;
• AliExpress ;
• Darty ;
• OVH ;
• SFR ;
• MAIF ;
• 20 minutes ;
• Journal Sud Ouest ;
• Boursorama ;
• Boulanger ;
• Leroy Merlin ;
• FNAC ;
• Franceinfo.

Réaction de l’association

Points positifs

• Des mises en demeure de retour à la conformité sous deux mois couplées à des rappels aux obligations légales (deux mesures prévues par l’article 20(III) LIL), c’est mieux que les courriels-types informels rédigés au conditionnel (article 8(I)(2)d LIL) qui constituent l’écrasante majorité des clôtures de plaintes CNIL ;

• La CNIL met en demeure d’effacer les données à caractère personnel collectées en l’absence de consentement valable. Elle impose rarement un tel effacement pourtant nécessaire ;

• Dans la continuité de sa sanction à l’encontre de Shein, la CNIL met en demeure de rendre effectif un retrait du consentement, y compris aux cookies tiers (= de partenaires). Pour ce faire, les entités ne doivent pas seulement bloquer les requêtes web tierces, mais aussi communiquer le retrait à leurs partenaires.

Points négatifs

• Absence de sanctions pécuniaires dissuasives envoyant un signal fort à l’ensemble des éditeurs de sites web. Sans sanction de ce type, il est à prévoir que les responsables de traitement ne se mettront pas en conformité, d’autant plus sans être directement visés par une de nos plaintes. ;

• Dans 2/3 des plaintes (six sur neuf), la CNIL n’adopte aucune mesure concernant le dépôt de cookies avant l’expression du consentement. Notre grief est visé dans la décision, mais la CNIL ne motive pas sa non-prise en compte ;

• Dans 80 % des plaintes (onze sur quatorze), la CNIL n’adopte aucune mesure visant à résorber la difficulté pour accéder à l’option de retrait du consentement. Là encore, notre grief est visé, sans plus ;

• Dans 85 % des plaintes (onze sur treize), la CNIL tolère des bandeaux cookies qui mettent plus en évidence l’option d’acceptation que celle de refus (couleurs différentes, bouton de refus hors du bandeau, etc.) et/ou tolère un choix « payer ou consentir » en appréciant uniquement le prix de l’option payante au lieu de l’absence de cookies et autre traceurs en cas de paiement ;

• Notre grief relatif à une absence d’atténuation de la fatigue au consentement, notamment par la prise en compte des signaux techniques comme Do Not Track ou Global Privacy Control, n’a été ni pris en compte ni même visé par la CNIL. Des travaux en cours au niveau européen vont pourtant dans cette direction, la CNIL aurait ainsi pu déjà attirer l’attention des responsables de traitement sur ceux-ci. La Commission est d’ailleurs habituellement très prompte à prétexter des travaux doctrinaux, même en réalité inexistants, quand ils sont dans l’intérêt des responsables de traitement. Il est ainsi étonnant qu’elle n’en fasse pas de même quand de tels travaux existent vraiment mais sont cette fois dans l’intérêt des personnes concernées ;

• Notre grief relatif au recours à des partenaires non-conformes aux exigences de preuve et de retrait du consentement est visé mais n’a pas été retenu ;

• Notre grief tiré d’une absence de caractère éclairé du consentement à cause d’une information colossale répartie dans le bandeau cookies, la politique cookies, les politiques de confidentialité des partenaires, a été compris, par la CNIL, comme un grief relatif à une prétendue absence d’exhaustivité de l’information délivrée. Nous allons contester cette lecture de la CNIL dans nos prochaines plaintes, en indiquant que l’aspect éclairé vaut dans les deux sens : tout ce qui est dans le résumé en 1er niveau doit être dans les CGU, mais aussi et surtout le résumé doit couvrir l’ensemble des finalités contenues dans les CGU. C’est ce dernier point que la CNIL occulte totalement alors qu’il est au contraire le seul pertinent dans l’étude du caractère éclairé ou non du consentement. ;

• Plus largement, nous regrettons la motivation perfectible des décisions de clôture et l’absence d’information : tantôt un grief est pris en compte, tantôt il est visé puis passé sous silence ; le contenu in extenso des rappels aux obligations et des mises en demeure ne nous a pas été communiqué ; la date d’émission de la moitié des mises en demeure non plus ; absence d’information au fil de l’instruction (lorsque les contrôles ont été décidés, par ex.) ; etc. ;

• La durée de traitement des plaintes, dix mois, est disproportionnée au regard des diligences accomplies : contrôle en ligne, et rédaction d’un rappel aux obligations et d’une mise en demeure. Plusieurs bandeaux cookies ont déjà changé entretemps…

Suite

Sur instruction de ses mandants, l’association veillera à ce que les éditeurs épinglés se mettent en conformité dans le délai prescrit par la CNIL.

Elle veillera également à ce que la CNIL adopte des mesures correctrices en matière de cookies déposés sans consentement, de difficulté de retrait du consentement, d’absence de caractère éclairé du consentement, de bandeaux cookies trompeurs, d’absence de prise en compte des signaux visant à réduire la fatigue du consentement, etc.

Mot de la fin

Notre association rappelle que les cookies ne sont pas son unique sujet d’intérêt. Pour le compte de ses mandants, elle intervient aussi sur les fuites de données personnelles, sur les durées de conservations abusives, sur l’insuffisante sécurité des données, etc.