Délibération SAN-2023-012 du 13 juillet 2023

Délibération de la formation restreinte n°SAN-2023-012 du 13 juillet 2023 relative à l’injonction prononcée à l’encontre des sociétés X et Y par la délibération no SAN-2021-023 du 31 décembre 2021

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Philippe-Pierre CABOURDIN, vice-président, Mesdames Anne DEBET et Christine MAUGÜÉ, et Messieurs Alain DRU et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la délibération n° SAN-2021-023 du 31 décembre 2021 adoptée par la formation restreinte à l’encontre des sociétés X et Y ;

Vu les éléments transmis par les sociétés X et Y les 4 avril, 19 avril, 25 mai et 15 juin 2022, pour démontrer leur conformité à l’injonction ;

Vu le courrier du 5 août 2022, par lequel le président de la formation restreinte a demandé au rapporteur d’intervenir à nouveau dans la procédure aux fins d’instruction de ces éléments ;

Vu la demande complémentaire de Madame Valérie PEUGEOT, commissaire rapporteure, notifiée aux conseils des sociétés X et Y le 25 janvier 2023 ;

Vu le courrier du 28 avril 2023, en réponse à la demande complémentaire, transmis par les sociétés X et Y ;

Vu les autres pièces du dossier ;

Après en avoir délibéré lors de la séance du 13 juillet 2023, a adopté la décision suivante :

FAITS ET PROCÉDURE

La décision no SAN-2021-023 du 31 décembre 2021, notifiée à la société X le 14 janvier 2022 et le 17 janvier 2022 à la société Y, a enjoint aux sociétés X et Y (ci-après … ) de :

de modifier, sur les sites web […].fr et […].com , les modalités de recueil du consentement des utilisateurs situés en France aux opérations de lecture et/ou d’écriture d’informations dans leur terminal, en leur offrant un moyen de refuser ces opérations présentant une simplicité équivalente au mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement .

Cette injonction était assortie d’une astreinte de cent mille euros (100 000) euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai.

Le 4 avril 2022, dans le délai fixé par la délibération, […] a adressé au président de la formation restreinte des éléments en vue de justifier sa mise en conformité, en présentant les mesures qu’elle comptait mettre en œuvre à partir de mi-avril 2022 sur […] et à la fin du mois d’avril ou dans les premières semaines de mai 2022 s’agissant de […]. Les modifications consistaient en l’adaptation du parcours utilisateur de façon à ce que les fenêtres surgissantes relatives aux cookies, qui apparaissent lorsque l’utilisateur se rend sur les sites web des sociétés, comprennent désormais un bouton de refus intitulé Tout refuser .

Les 19 avril, 25 mai et 15 juin 2022, […] a adressé au président de la formation restreinte les justificatifs attestant du déploiement sur les sites web […].fr et […].com de ces nouvelles fenêtres surgissantes relatives aux cookies.

Par courrier du 5 août 2022, le président de la formation restreinte a demandé à la rapporteure d’intervenir à nouveau aux fins d’instruction de ces éléments, sur le fondement de l’article 44 du décret n°2019-536 du 29 mai 2019, pour s’assurer de l’effectivité du mécanisme de refus mis en œuvre par la société.

Dans ce but, après une analyse notifiée à […] le 25 janvier 2023, la rapporteure a demandé à […] de lui indiquer, dans un délai de 2 mois, des éléments d’informations complémentaires.

Par courrier du 28 avril 2023, […] a apporté les précisions demandées.

MOTIFS DE LA DECISION

La formation restreinte relève qu’il ressort des éléments fournis par la société dans ses différents courriers que les personnes se rendant sur les sites web […].fr et […].com se voient désormais proposer un moyen de refuser les opérations de lecture et/ou écriture d’informations dans leur terminal présentant une simplicité équivalente au mécanisme prévu pour leur acceptation.

Les modalités proposées permettant de garantir la liberté du consentement des utilisateurs, la formation restreinte considère que les sociétés X et Y ont satisfait à l’injonction dans le délai imparti.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

  • de dire n’y avoir lieu à liquidation de l’astreinte ;

  • de rendre publique, sur le site de la CNIL et sur le site de Légifrance, la présente délibération qui n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans, le point de départ étant la publication de la délibération n° SAN-2021-023 du 31 décembre 2021.

Le vice-président

Philippe-Pierre CABOURDIN

Retourner en haut de la page