Transparence et vigilance en matière de cookies sur les sites internet

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

CE, 10ème - 9ème ch. réunies, 6 juin 2018, n°412589

L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies.

Ce qu’il faut retenir : L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies. Le Conseil d’Etat a confirmé la décision de la CNIL qui a prononcé une sanction à l’encontre de l’éditeur du site challenge.fr qui s’est contenté de présenter à ses internautes comment paramétrer leur navigateur pour refuser les cookies et qui n’a ni respecté une durée de conservation limitée ni vérifié que ses partenaires déposant des cookies tiers (sur lesquels il n’a aucune maitrise technique) respectent bien la réglementation en la matière.

Pour approfondir : Le Conseil d’Etat a confirmé, dans sa décision du 6 juin 2018, la position de la Cnil sur le fait que le paramétrage du navigateur n’est pas un mode valable d’opposition au dépôt de cookies.

Pour rappel, l’éditeur du site internet challenge.fr avait été condamné par la CNIL le 18 mai 2017 pour ne pas avoir respecté ses obligations d’information quant au dépôt de cookies sur le terminal de ses visiteurs et sur leur droit d’opposition alors qu’il avait été mis en demeure de le faire.

La CNIL avait alors prononcé une sanction pécuniaire de 25 000 € contre l’éditeur du site challenges.fr qui a décidé de faire un recours contre cette décision devant le Conseil d’Etat.

En matière de dépôt de cookies, la loi impose l’information des utilisateurs sur les finalités de ces cookies et sur les moyens de s’y opposer. Le recueil du consentement doit nécessairement avoir lieu avant leur dépôt, sauf si les cookies déposés sont nécessaires au fonctionnement du site ou qu’ils correspondent à la fourniture du service à la demande de l’utilisateur.

Si l’éditeur du site faisait valoir que ses cookies à finalités publicitaire et commerciale étaient nécessaires à la survie économique du site, le Conseil d’Etat a précisé que cette circonstance ne permettait pas de considérer que ces cookies relevaient de la catégorie de ceux strictement nécessaires à la fourniture du site et par conséquent exemptés de consentement.

Le Conseil d’Etat a par ailleurs précisé que l’information délivrée par le site n’était pas suffisamment transparente et ne permettait pas aux internautes de différencier clairement les catégories de cookies, ni de s’opposer à leur dépôt. Dès lors, le simple fait pour l’éditeur de proposer à ses internautes de paramétrer leur navigateur ne permet pas d’en conclure que ceux n’ayant pas refusé via leurs paramètres les cookies y avaient consenti.

Le Conseil d’Etat a clairement précisé que c’est à bon droit que « la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies ».

Dans sa délibération, la CNIL avait également relevé que l’éditeur avait manqué à son obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement et qu’il n’avait pas donné suite à sa mise en demeure de ne pas conserver les cookies au-delà de treize mois.

En ce qui concerne les « cookies » déposés par des tiers, la CNIL a également caractérisé les manquements de l’éditeur du fait qu’il n’avait apporté aucune justification qu’il aurait effectué des démarches auprès de ses partenaires afin qu’ils respectent eux aussi une durée de conservation adéquate et proportionnée.

Le Conseil d’Etat a confirmé la décision de la CNIL et a précisé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels   « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le  « cookie », notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. » 

En conséquence, il appartient à tout éditeur d’un site internet de s’assurer que les partenaires autorisés à déposer des cookies respectent la réglementation sous peine d’engager leur propre responsabilité.

A rapprocher : Nouvel article 32 de la loi informatique et liberté (modifié par la loi n°2018-493 du 20 juin 2018)

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…