TIKTOK condamné par la CNIL à une amende de 5 millions d'euros

DATA Protection - RGPD

L’application TIKTOK a été lancée en septembre 2016 et développée par l’entreprise chinoise ByteDance pour le marché non chinois.

 

Après avoir effectué plusieurs contrôles sur le site web « Tiktok.com », la CNIL (Commission Nationale de l’Informatique et des Libertés) a constaté des manquements aux obligations de la loi Informatique et Libertés.

 

Le 29 décembre 2022, la CNIL a sanctionné les sociétés Tiktok Information Technologies Uk Limited (Tiktok Royaume-Uni) et Tiktok Technology Limited (Tiktok Irlande) d’une amende publique de 5 millions d’euros pour non-respect des exigences sur le consentement et l’information des personnes (délibération SAN-2022-027).

 

Les motifs de la décision

En application de l’article 82 de la loi Informatique et Libertés, chaque utilisateur doit être informé de manière claire et complète, par le responsable de traitement, de la finalité de toute action et des moyens dont il dispose pour s’y opposer.

 

A titre d’exemple, il convient de s’attarder sur les cookies relatifs au plafonnement de l’affichage, également appelés « capping publicitaire ». Ils consistent à ne pas présenter à un utilisateur une même publicité de manière trop répétitive.

 

La CNIL a considéré que ces cookies, dont la finalité s’inscrit dans la publicité comportementale en ligne, n’ont pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peuvent pas être considérés comme strictement nécessaires à la fourniture d’un service de communication en ligne à la demande de l’utilisateur.

 

Les observations ci-dessus traduisent une absence avérée d’information complète sur les finalités des cookies.

 

Par ailleurs, la Commission n’a pas manqué de rappeler que « le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement ».

 

En effet, l’interface de recueil de consentement indiquant plusieurs actions pour « paramétrer » un refus de consentir risque de biaiser le choix de l’utilisateur qui souhaite visualiser le site ou utiliser l’application rapidement.

 

Ainsi, l’absence de moyen conforme pour le refus de dépôt des cookies est sanctionnée par la Commission.

 

Les points à retenir

  • La CNIL est compétente pour sanctionner les opérations liées aux cookies déposés sur les terminaux des internautes situés en France ;

 

  • Deux sociétés sont considérées comme étant conjointement responsables dans le cas où elles déterminent toutes les deux les finalités et les moyens liés au traitement ;

 

  • Le fait de recourir à un mécanisme de refus des cookies plus complexe que celui permettant de les accepter décourage les utilisateurs de refuser les cookies et incite à les accepter ;

 

  • Le bouton « gérer les paramètres » est peu explicite en ce qu’il ne mentionne pas clairement l’existence de moyens permettant de refuser les cookies et crée une confusion amenant l’utilisateur à croire qu’il n’est pas en mesure de refuser le dépôt des cookies et qu’il n’a pas de contrôle sur leur installation ;

 

  • L’utilisateur doit avoir la possibilité de refuser le dépôt des cookies avec le même degré de simplicité qu’il a de les accepter ;

 

  • L’utilisateur doit être informé de manière complète des finalités de dépôt des cookies et des moyens dont il dispose pour s’y opposer. Une description générale et approximative des finalités de l’ensemble des cookies déposés n’est pas admise.

 

Par exemple, les termes « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing » ne sont pas valides car trop imprécis pour l’utilisateur.

 

  • L’utilisateur doit être informé des finalités de dépôt des cookies de façon précise sur le premier niveau d’informations.

 

En conclusion

Les décisions rendues par la Commission Nationale tiennent compte de plusieurs élément distincts, les manquements retenus, le nombre de personne concernées ainsi que les communications antérieures de la CNIL sur l’obligation concernée.

 

Afin de décider s’il y a lieu à la publication d’une sanction, la CNIL tient compte de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées.

 

Au regard de la sanction exemplaire de la CNIL envers les sociétés Tiktok Royaume-Uni et Tiktok Irlande, il est fortement conseillé de respecter la clarté du consentement sur la bannière des cookies (aussi bien au sein d’une application que sur un site internet).

Chez PLR Avocats, nous nous efforçons de tenir une veille juridique régulière pour nos clients concernant l'évolution et le respect des règles en matière de protection des données personnelles.

 

Nous accompagnons les entreprises dans leur mise en conformité avec le RGPD afin que celle-ci soit pleinement efficace et opposable à la CNIL.

 

PLR Avocats prend également en charge les missions du DPO.

 

Pour nous contacter, c'est ICI !

Articles similaires

En poursuivant votre navigation sur ce site, vous acceptez l'installation et l'utilisation de cookies sur votre poste, notamment à des fins d'analyse d'audience, dans le respect de notre politique de protection de votre vie privée.