Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Facebook Ireland Limited (sedan dess omdöpt till Meta Platforms Ireland Limited) med 60 miljoner euro för att ha underlåtit att göra det lika enkelt att vägra samtycke till användningen av cookies som att acceptera detsamma på facebook.com. Beslutet kom efter en online-granskning som CNIL genomfört som en del av myndighetens mer omfattande pågående kampanj för att kontrollera efterlevnaden av sina riktlinjer och rekommendationer om cookies (läs mer om detta här).
Av beslutet framgår att CNIL efter en granskning som utförts på domänen facebook.com den 8 april 2021 skickat två frågeformulär till Facebook France och Facebook Ireland Limited med begäran om att de skulle specificera syftet med de cookies som skickades från webbplatsen facebook.com till terminalerna hos användare som är bosatta i Frankrike, och för att få dem att bekräfta att Facebook Ireland Limited verkligen var ansvarig för behandlingen i fråga. Enligt CNIL erbjöd webbplatsen facebook.com en knapp för att omedelbart acceptera cookies, men det fanns däremot inte upp en likvärdig lösning (knapp eller annan) för att göra det möjligt för användaren att enkelt vägra användningen av dessa cookies. CNIL poängterade att det istället krävdes flera klick för att neka webbplatsens alla cookies, mot bara ett för att acceptera dem.
På grundval av ovanstående fakta och med hänvisning till kraven i artikel 4.11 i dataskyddsförordningen (GDPR), dvs. att samtycke måste vara en “frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”, samt skäl 42 i GDPR, dvs. att samtycke “inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke”, fann CNIL att Facebook inte hade gett användarna möjlighet att fritt ge sitt samtycke, eftersom Facebooks cookie-banner inte gör det möjligt för användarna att vägra cookies med samma grad av enkelhet som att acceptera dem.
Mot bakgrund av ovanstående beslutade CNIL därför att ålägga Facebook Ireland Limited böter på det ovannämnda beloppet samt ett föreläggande om att Facebook inom tre månader ska ändra metoderna för att samla in samtycke från användare som befinner sig i Frankrike till användning av cookies genom att erbjuda dem ett sätt att vägra lika enkelt som det sätt som finns för att acceptera dem, för att garantera deras frihet att ge sitt samtycke, och även föreskriva att ytterligare böter på 100 000 euro kommer att åläggas för varje dag som de inte följer reglerna efter utgången av denna period.
CNIL påpekade dessutom att även om Facebook begärt att CNIL inte skulle offentliggöra beslutet, är offentliggörandet av detta beslut motiverat med hänsyn till hur allvarlig överträdelsen i fråga är, omfattningen av behandlingen och det antal personer som berörs.