Les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies.
Communiqué du 12 janvier 2023
Le 29 décembre 2022, la CNIL a sanctionné le réseau social TIKTOK pour un montant total de 5 millions d’euros pour deux raisons : les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies.
Le contexte
Entre mai 2020 et juin 2022, la CNIL a effectué plusieurs missions de contrôle en ligne sur le site web « tiktok.com » et sur pièces, c’est-à-dire sur la base de documents demandés à la société par la CNIL.
Les contrôles ont uniquement porté sur le site web de TIKTOK, dans un espace non authentifié, et non sur l’application mobile.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que les sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED (TIKTOK ROYAUME-UNI) et TIKTOK TECHNOLOGY LIMITED (TIKTOK IRLANDE) avaient manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.
Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées – notamment des mineurs – et des nombreuses communications antérieures de la CNIL sur le fait qu’il doit être aussi simple de refuser les cookies que de les accepter.
Les manquements à la loi Informatique et Libertés
Lors du contrôle effectué en juin 2021, la CNIL a constaté que si les sociétés TIKTOK ROYAUME-UNI et TIKTOK IRLANDE proposaient bien un bouton permettant d’accepter immédiatement les cookies, elles ne mettaient pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement leur dépôt. Plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter.
La formation restreinte a considéré que rendre le mécanisme de refus plus complexe revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». Elle en a conclu que ce procédé portait atteinte à la liberté du consentement des internautes et constituait une violation de l’article 82 de la loi Informatique et Libertés puisqu’il n’était pas aussi simple de refuser les cookies que de les accepter au moment du contrôle en ligne de juin 2021 et jusqu’à la mise en place d’un bouton « Tout refuser » en février 2022.
De plus, les utilisateurs n’étaient pas informés de façon suffisamment précise des finalités (objectifs) des cookies tant sur le bandeau d’informations au premier niveau que dans le cadre de l’interface de choix accessible après avoir cliqué sur un lien présent dans la bannière.
La formation restreinte a donc conclu à plusieurs manquements à l’article 82 de la loi Informatique et Libertés.
Une compétence de la CNIL
La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes situés en France. Le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans ces procédures dans la mesure où les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.
La formation restreinte a considéré que la CNIL est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours aux cookies est effectué dans le « cadre des activités » de la société TIKTOK SAS qui constitue « l’établissement » sur le territoire français des sociétés TIKTOK ROYAUME-UNI et TIKTOK IRLANDE.
Elle a également estimé qu’elles sont conjointement responsables dès lors qu’elles déterminent toutes les deux les finalités et les moyens liés à l’usage des cookies.