Le 29 décembre 2022, la CNIL a sanctionné le réseau social TIKTOK d’un montant total de 5 millions d’euros, pour deux raisons : les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement qu’ils les acceptaient et ils ne pouvaient pas les informer suffisamment. finalités des différents cookies.
Le contexte
Entre mai 2020 et juin 2022, la CNIL a effectué plusieurs missions de contrôle sur le site et les documents « tiktok.com », c’est-à-dire sur la base des documents demandés par la CNIL à l’entreprise.
Les contrôles ne portent que sur le site TIKTOK, dans un espace non authentifié, et non sur l’application mobile.
Sur la base des résultats des contrôles, la commission restreinte – l’organisme CNIL chargé de prononcer les sanctions – estime que TIKTOK INFORMATION TECHNOLOGIES UK LIMITED (TIKTOK ROYAUME-UNI) et TIKTOK TECHNOLOGY LIMITED (TIKTOK IRELAND) ont violé les obligations établies par les sociétés. Conformément à l’article 82 de la loi sur la protection des données.
Le montant de cette amende a été décidé, en raison des lacunes identifiées, du nombre d’intéressés – notamment des mineurs – et des nombreuses communications antérieures de la CNIL, acceptant qu’il soit aussi simple que de refuser les cookies.
Les manquements à la loi Informatique et Libertés
Dans le contrôle effectué en juin 2021, la CNIL a précisé que si les sociétés TIKTOK UNITED KINGDOM et TIKTOK IRELAND proposaient un bouton permettant l’acceptation immédiate des cookies, elles n’avaient pas mis en place de solution équivalente (bouton ou autre) pour fournir le option. L’internaute doit renoncer à son acompte. Il a fallu plusieurs clics pour refuser tous les cookies, au lieu d’un seul pour les accepter.
Le comité limité estime que rendre le mécanisme de désactivation plus complexe décourage les utilisateurs de désactiver les cookies et encourage la commodité d’un bouton « tout accepter ». Il a conclu que ce procédé violait la liberté de consentement des internautes et contrevenait à l’article 82 de la Loi Informatique et Libertés, car il ne s’agissait pas simplement de refuser les cookies jusqu’à la mise en place du récépissé en ligne de juin 2021. Bouton « Rejeter tout » en février 2022.
De plus, les utilisateurs n’étaient pas suffisamment informés de la ou des finalités des cookies, tant dans le premier niveau du bandeau d’information que dans le cadre de l’interface des options disponibles après avoir cliqué sur un lien du bandeau.
La Commission restreinte a donc conclu qu’il y avait eu plusieurs manquements à l’article 82 de la loi Informatique et Libertés.
Une compétence de la CNIL
La CNIL dispose de la compétence matérielle pour contrôler et sanctionner les opérations liées aux cookies déposés sur les terminaux des internautes situés en France par les entreprises. Le mécanisme de coopération prévu par le RGPD (le mécanisme du « guichet unique ») n’a pas vocation à être appliqué dans ces procédures, les opérations liées à l’utilisation des cookies faisant partie de la directive « ePrivacy » transposée dans l’article 82 de la Data. Loi sur la protection
Le Comité Réduit estime que la CNIL est également territorialement compétente selon l’article 3 de la Loi Informatique et Libertés, car l’utilisation des cookies est réalisée dans le « périmètre d’activités » de la société TIKTOK SAS, qui constitue un « établissement » en français territoire. Entre les sociétés TIKTOK KINGDOM UNITED et TIKTOK IRELAND.
Elle considère également qu’ils sont solidairement responsables lorsqu’ils déterminent ensemble les finalités et les moyens liés à l’utilisation des cookies.