Défaut de recueil de consentement pour les cookies, informations lacunaires sur les bandeaux et des mécanismes de refus inefficaces : voici les manquements graves au RGPD ayant donné lieu aux sanctions historiques infligées par la CNIL. Face à l’ampleur de ces pénalités, les déclarations de Vincent Villette (secrétaire général de la CNIL) et Rodolphe Génissel (chef de service au sein de la direction des contrôles et des sanctions), selon lesquelles il n’existe pas de formule mathématique pour calculer le montant des sanctions, interrogent. Comment ces montants sont-ils déterminés ?
Les manquements en matière de cookies : cadre et sanctions
La logique des sanctions infligées s’appuie sur un cadre juridique établi, permettant de comprendre les manquements pénalisés.
Politique cookies : l’évolution des exigences de consentement
La directive e-Privacy a ancré le principe d’exigence de recueil de consentement de l’utilisateur avant le dépôt de traceurs sur son terminal, transposée en droit français par l’article 82 de la loi dite Informatique et libertés.
L’entrée en vigueur du RGPD en 2018 a renforcé ces exigences. En 2019, la CNIL a lancé un plan d’action pour réguler les traceurs. Selon l’article 4 du RGPD, le consentement doit être « libre, spécifique, éclairé et univoque ». L’article 7 du règlement impose de pouvoir prouver que la personne a consenti.
Concrètement, un consentement valide implique une action positive et explicite de l’utilisateur.
Les informations fournies doivent être claires et complètes. La CNIL, dans sa délibération de 2020[1], y a apporté des précisions :
- Interdiction de déposer des cookies avant toute action de l’utilisateur
- Obligation de mécanismes de refus aussi simples que l’acceptation
Pratiques réprimées : une doctrine constante, un manquement inédit
Les sanctions prononcées par la formation restreinte de la CNIL s’inscrivent dans une doctrine établie en matière de cookies, validée par le Conseil d’Etat.
Les manquements sanctionnés correspondent aux exigences posées de longue date : dépôt de traceurs avant toute action de l’utilisateur, information lacunaire dans les bandeaux cookies et ineffectivité des mécanismes de refus et de retrait du consentement. Ces violations caractérisent une absence d’information claire, un défaut de recueil préalable du consentement et des dispositifs d’opposition défaillants.
Toutefois, la sanction de 325 millions d’euros infligée à Google marque une évolution. Au-delà des manquements habituels, la CNIL a sanctionné pour la première fois le « cookie wall » : lors de la création d’un compte, Google conditionnait l’accès à ses services au dépôt de cookies publicitaires. Cette pratique ne permettait pas un consentement libre et éclairé.
Quantifier la sanction : entre méthode et discrétion
La détermination et l’application des sanctions RGPD s’inscrivent dans un cadre européen et national précis, visant à assurer leur proportionnalité et leur caractère dissuasif.
L’emprunt méthodologique au droit de la concurrence
La méthodologie de calcul des sanctions RGPD s’inspire directement du droit européen de la concurrence. Un arrêt de la Cour de justice de l’Union européenne (CJUE), l’affaire Ilva du 13 février 2025 (aff.83/23), a étendu cette logique au domaine de la protection des données. Selon cette décision, le montant de l’amende infligée doit désormais refléter la véritable capacité financière du groupe auquel appartient l’entité en infraction.
Cette démarche permet aux autorités de protection des données d’évaluer précisément les moyens économiques de l’acteur sanctionné, sans être limitées par la structure organisationnelle qu’il a choisie. L’objectif est d’empêcher qu’un responsable de traitement puisse invoquer un manque de ressources financières, alors qu’il fait partie d’un groupe doté de capacités importantes.
Cette logique garantit que les sanctions ont un effet dissuasif réel, proportionné à la surface financière de l’ensemble économique concerné.
Les lignes directrices du CEPD : un cadre sans formule imposée
Le Comité Européen de la Protection des Données (CEPD) a défini des orientations pour le calcul des sanctions. Ces directives mettent en lumière deux critères fondamentaux : la gravité de l’infraction commise par l’entité et le chiffre d’affaires de l’entreprise en cause.
Toutefois, le CEPD a choisi de ne pas établir de formule de calcul mathématique stricte. Cette absence de barème automatique offre aux autorités nationales de contrôle une latitude d’appréciation, leur permettant d’ajuster la sanction en fonction des spécificités de chaque situation.
Les lignes directrices constituent ainsi un cadre de référence harmonisé au niveau européen, tout en maintenant la souplesse nécessaire à l’individualisation des sanctions.
Appréciation de la gravité : critères guidés, sanction non prédéterminée
La CNIL, soucieuse de rendre transparents les critères de calcul des amendes, veille néanmoins à ce que les opérateurs ne puissent pas prédéterminer précisément le montant des sanctions. L’objectif est d’éviter que ces derniers n’intègrent le montant de l’amende dans leurs calculs économiques rationnels, la transformant en simple « prix de la non-conformité » jugé acceptable.
La gravité des faits constitue un élément central de l’équation. Cette gravité est appréciée au regard de la combinaison de plusieurs facteurs : le nombre de personnes concernées par le traitement litigieux, la durée de la violation constatée, et les catégories de données traitées. Plus ces éléments sont importants, plus la gravité est considérée comme élevée.
La formation restreinte prend également en compte l’écart entre le niveau de conformité attendu de l’opérateur et le niveau de conformité constaté en pratique, permettant une évaluation individualisée de chaque situation.
Conclusion : L’équilibre d’une méthode sans formule
En somme, la détermination des sanctions RGPD par la CNIL s’inscrit dans une démarche structurée mais flexible. Elle s’inspire du droit de la concurrence européen pour évaluer la surface financière des groupes, assurant un effet dissuasif proportionné. Les lignes directrices du CEPD, axées sur la gravité du manquement et le chiffre d’affaires, confirment cette orientation. Le maître mot demeure l’absence de formule mathématique rigide, permettant à la CNIL d’apprécier concrètement la gravité des violations. L’objectif est clair : éviter que les sanctions ne soient perçues comme un simple coût de non-conformité, tout en garantissant une individualisation juste et dissuasive.
***
Vous souhaitez sécuriser vos pratiques et anticiper efficacement les contrôles RGPD ?
Le cabinet HAAS Avocats vous accompagne pour évaluer vos risques, analyser vos procédures et structurer votre conformité.
Ne laissez pas le hasard dicter votre exposition aux sanctions : sollicitez l’expertise de nos avocats pour transformer vos obligations en véritable avantage concurrentiel.
Pour nous contacter, cliquez ici
[1] Délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »