Sur le fond, les reproches formulés restent assez “classiques” en matière de cookies. La CNIL vise des mécanismes conduisant au dépôt de traceurs publicitaires alors que l’utilisateur n’a pas donné un consentement valable, ou ne peut pas refuser/retirer son choix de manière réellement effective.

• Dans le dossier Shein, elle insiste notamment sur l’asymétrie des parcours proposés aux utilisateurs (acceptation plus simple que le refus) et sur l’ineffectivité du retrait du consentement.

• Dans le dossier Google, la décision se rattache à des parcours liés à l’écosystème du compte (dont Gmail) et traite des pratiques de prospection associées.

L’enjeu principal tient toutefois à la méthode de fixation du montant de l’amende. Si la CNIL rappelle qu’elle n’est pas tenue de détailler les modalités de calcul des amendes qu’elle prononce, elle précise en revanche que les sanctions résultent d’une appréciation globale des circonstances et explicite les facteurs déterminants, dans une logique d’amende effective, proportionnée et dissuasive, proche de l’esprit de l’article 83 du RGPD.

Concrètement, quels éléments pèsent le plus dans la balance ?

Les décisions mettent en avant, de manière plus explicite, quatre axes qui structurent la fixation du quantum :

• La gravité des faits au regard de l’atteinte à la vie privée. Critère essentiel, la CNIL apprécie la nature même des pratiques en cause et l’atteinte portée aux droits des utilisateurs (caractère intrusif des cookies publicitaires et de ciblage, niveau d’information délivré, effectivité du consentement, etc…)
• L’ampleur et la diffusion des pratiques. La CNIL examine la diffusion réelle de la pratique : audience des services concernés, volume d’utilisateurs exposés et effet de masse qui en résulte. Plus la pratique touche un public large, plus elle l’atteinte est jugée élevée et la sanction appelée à marquer.
• L’avantage économique retiré des pratiques. Lorsque la non-conformité facilite la monétisation publicitaire (publicité ciblée, personnalisation des contenus), la CNIL estime que cet avantage doit être neutralisé par une sanction suffisamment dissuasive.
• Le comportement de l’organisme dans un cadre juridique déjà stabilisé. Plus l’acteur est structuré, plus la CNIL attend un haut niveau de conformité (organisation, contrôle interne, capacité technique). Elle tient compte de la vigilance attendue, des corrections engagées ou à l’inverse du caractère répété des manquements à la législation sur les cookies.

Enfin, ces décisions sont importantes pour les groupes : pour apprécier le montant de l’amende, la CNIL ne se limite plus à l’entité directement en cause, mais raisonne au niveau de l’« entreprise » au sens du droit de l’Union, entendue comme une unité économique. Cette approche lui permet de tenir compte de l’activité du groupe dans son ensemble. Inspirée de la méthode du droit de la concurrence et consacrée par la jurisprudence de la CJUE en matière de droit des données, elle vise à garantir le caractère dissuasif de la sanction.

Ces décisions confirment que la conformité “cookies” ne se limite plus à un enjeu technique. Elle s’apprécie à l’aune de son impact sur les droits des utilisateurs, de son ampleur et de ses effets économiques, avec une exposition financière potentiellement appréciée à l’échelle du groupe.

Pour tout professionnel, un audit ciblé des parcours cookies (symétrie accepter/refuser, effectivité du retrait, preuves de consentement) constitue aujourd’hui un levier essentiel de maîtrise du risque CNIL et ce, d’autant plus que le site internet demeure la vitrine de l’entreprise. Nous sommes à votre disposition pour vous accompagner dans cette démarche.