La Cnil (Commission nationale de l’informatique et des libertés), gendarme français des données personnelles, a annoncé mardi la mise en demeure d’une «vingtaine d’organismes», composés «principalement d’importantes sociétés de l’économique numérique» dont «des acteurs internationaux», qui ne sont pas nommés, pour des manquements relatifs à la législation en matière de cookies.
Les contrôles débutés en avril «ont permis de constater qu’un certain nombre d’organismes ne permettaient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter», explique le régulateur dans un communiqué.
Les sociétés et acteurs publics concernés ont un mois pour se mettre en conformité et encourent des sanctions pouvant aller jusqu’à 2% du chiffre d’affaires, indique la Cnil.
Les mises en demeure étant non publiques, les noms de ces organismes n’ont pas été dévoilés.
«Il s’agit de la première campagne de vérifications et de mesures correctrices depuis l’expiration (le 1er avril) du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies.
Des actions similaires seront conduites au cours des prochains mois», rappelle la Cnil.
En octobre 2020, la Commission nationale informatique et libertés avait publié sa «recommandation» sur la publicité ciblée, fruit d’un long travail de concertation pour appliquer les principes du Règlement général européen sur la protection des données (RGPD), entré en vigueur en 2018.
Celui-ci prévoit notamment un consentement explicite au recueil des données personnelles.
Concrètement, le régulateur souhaite que sur les bandeaux de recueil du consentement, le bouton «Refuser tout» soit aussi facile d’accès que «Tout accepter».
La Cnil avait laissé six mois aux éditeurs de sites et d’applications mobiles pour s’adapter.
Dans l’intervalle, elle avait toutefois sanctionné Google et Amazon avec des amendes record de 100 et 35 millions d’euros en raison de bandeaux d’information non conformes, sur la base d’une législation antérieure au RGPD.