Franse toezichthouder legt miljoenenboetes op voor onjuist cookiegebruik

In navolging van de Planet49-zaak over cookietoestemming brachten veel Europese toezichthouders nieuwe richtlijnen omtrent het gebruik van niet-essentiële cookies (cookies die niet noodzakelijk zijn voor het functioneren van een website, zoals het onthouden van de inhoud van een winkelwagentje) naar buiten. Zo ook de Franse toezichthouder.

Onderzoek CNIL

De CNIL deed rond het voorjaar van 2020 onderzoek naar het cookiegebruik van Google en Amazon en concludeerde dat bij het arriveren op de websites (niet-essentiële) cookies werden geplaatst zonder geldige voorafgaande toestemming.

In het geval van Google ontbrak daarbij in de cookiebanner zowel informatie over het plaatsen van niet-essentiële cookies, als de mogelijkheid om deze cookies te weigeren. In de banner werd verwezen naar het privacy statement met daarbij de knoppen Consult now (nu raadplegen) en Remind me later (herinner mij later). De CNIL stelde dat dit onvoldoende was voor gebruikers om te begrijpen dat zij bij het doorklikken de beschikbare informatie konden inzien.

Op de website van Amazon stond in de cookiebanner wél informatie over het plaatsen van de cookies, maar ook dit beoordeelde de CNIL als te algemeen. Daarnaast werd in de cookiebanner gesteld dat er akkoord werd gegaan met het plaatsen van cookies bij verder gebruik van de website. Daardoor was het niet duidelijk dat het ook ging om het plaatsen van niet-essentiële cookies én kregen de gebruikers geen optie om het plaatsen van de cookies te weigeren. Daarbovenop constateerde de CNIL dat helemaal geen informatie werd verstrekt over het plaatsen van cookies op het moment dat gebruikers via een advertentie op een andere website bij Amazon uitkwamen.

Hiermee overtraden zowel Google als Amazon de Franse cookiewetgeving die volgt uit de ePrivacy Richtlijn.

Verbeteringen

Zowel Google als Amazon heeft laten weten dat zij in september 2020 wijzigingen hebben doorgevoerd in hun cookiebeleid. Het automatisch plaatsen van cookies zonder toestemming en het verstrekken van informatie zou hiermee op orde moeten zijn. De toezichthouder ondervond echter dat er bij beide organisaties nog steeds niet voldoende duidelijk werd geïnformeerd over het gebruik van niet-essentiële cookies en het doel van dit gebruik. Daardoor bleef de informatieverstrekking te algemeen. Gevolg daarvan is dat beide bedrijven nog eens €100.000,- boven op de oorspronkelijke boete kregen voor iedere dag dat de overtreding zou voortduren. Google en Amazon verwijten beiden de CNIL een constant veranderend beleid te hanteren. Hierdoor zouden zij niet weten waar ze aan toe zijn t.a.v. hun cookiegebruik.

Hoogte van de boete

De CNIL hanteerde drie criteria om de hoogte van de boete te rechtvaardigen:

1. De omvang van de inbreuk
   De fundamentele vereisten waarop een inbreuk is gemaakt, zoals het niet hebben van toestemming en het verstrekken van de juiste informatie.
2. De reikwijdte en impact van de websites
   Het aantal gebruikers dat is getroffen. Beide bedrijven hebben een enorm bereik.
3. De omvang van inkomsten die voortvloeien uit het onrechtmatig gebruik van cookies
   De advertentie-inkomsten die hier verdiend worden met het gebruik van cookiedata is van grote proporties.

Strategische keuze van de Franse toezichthouder?

Het opvallende aan beide besluiten van de CNIL is dat het van beide organisaties de first party cookies heeft onderzocht. Google staat bekend om het aanzienlijke gebruik van third party cookies, zoals Google Analytics en Google Display, die op sites van adverteerders zijn terug te vinden. Deze categorie cookies zijn controversiëler dan de hier onderzochte first party cookies. De rollen tussen de verschillende partijen zijn bij third party cookies echter vaak moeilijk precies aan te wijzen. Wie is er bijvoorbeeld verantwoordelijk voor het vragen van toestemming en het verstrekken van informatie aan gebruikers? Voor de toezichthouder is dit lastiger om te onderzoeken en stelling in te nemen. Hierdoor lijkt het een bewuste keuze van de toezichthouder om zich op first party in plaats van third party cookies van Google en Amazon te richten.

Alles weten over cookies?

We zien bij DDMA ook dat er in Nederland nog steeds wel eens onduidelijkheid is over de toepassing van de regels in de praktijk. Dit komt mede door de overlappende toezichtsbevoegdheid van de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt. Daarbij komt ook nog de steeds veranderende (concept) tekst van de ePrivacy Verordening, die invloed heeft op het gebruik van cookies en cookiedata.

Wil je op de hoogte zijn van de laatste juridische stand van zaken rondom cookies? Meld je aan voor de DDMA Online Masterclass Privacy over Cookies op donderdag 4 februari. Aan de hand van praktijkcases komt de theorie tot leven en krijg je informatie die direct toepasbaar is voor jouw marketingpraktijk.

Romar van der Leij

Voormalig Legal counsel | DDMA