Le 6 juin 2018, le Conseil d’État a confirmé dans sa décision n°412589 une sanction pécuniaire de 25 000 euros prononcée par la formation restreinte de la Commission nationale de l’informatique et libertés (CNIL) entre autre pour manquements à la réglementation relative aux cookies.

Le terme de cookies s’entend ici au sens large. La CNIL l’emploie pour désigner « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile ». Ce terme regroupe une grande variété de technologies (cookies HTTP, cookies « flash », fingerprinting, pixels invisibles, etc.). Par ailleurs, la réglementation relative au dépôt et à la lecture de cookies s’applique quel que soit le terminal de l’internaute (ordinateur, téléphone, tablette, objet connecté, etc.).

Mathias Avocats analyse cette décision et ses impacts pour les responsables de sites internet.

Quel encadrement pour les cookies ?

Des cookies sont déposés lors de la navigation sur un site internet dans de nombreux cas. Par exemple, si l’éditeur d’un site souhaite afficher des publicités personnalisées à destination d’un internaute lors de sa visite, il aura souvent recours à des cookies, qui lui permettront d’établir un profil pour l’internaute et d’y accéder. De même, l’utilisation de boutons de partage de contenus vers ou depuis les réseaux sociaux entraîne le dépôt de cookies édités par les réseaux sociaux correspondants.

Le dépôt et l’utilisation de cookies font l’objet en France d’un encadrement, dont la source est la directive européenne 2002/58 dite « ePrivacy », modifiée, sur ce point, par la directive 2009/136. En France, les dispositions de ces directives ont été transposées à l’article 32 II de la loi n°78-17 du 6 janvier 1978, dite loi « Informatique et Libertés ». Pour préciser l’application de ces dispositions en France, la CNIL a publié le 5 décembre 2013 une délibération n°2013-378 « portant adoption d’une recommandation relative aux cookies et autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 ».

L’article 32-II et la délibération de 2013 prévoient que, lorsqu’un internaute visite un site utilisant des cookies pour la première fois, il doit être informé de l’intention de l’éditeur du site d’utiliser des cookies et son consentement doit être recueilli avant tout dépôt de cookies. L’information délivrée à l’internaute doit lui permettre de savoir précisément pourquoi des cookies sont déposés. L’éditeur du site doit également lui proposer des moyens pour s’opposer, s’il le souhaite, au dépôt et à l’utilisation de cookies, finalité par finalité. En pratique, cela se traduit souvent par l’apparition d’un bandeau d’information, permettant la redirection vers une « politique cookies ». Une fois que l’internaute a donné son consentement les cookies peuvent être déposés et utilisés. Treize mois maximum après sa première visite, le consentement de l’internaute doit être à nouveau recueilli.

Certains cookies échappent à ces obligations. Ainsi, si un cookie « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ou « est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur », son dépôt n’est pas soumis à l’information et au consentement préalable de l’utilisateur. De plus, certains cookies de mesure d’audience peuvent échapper à l’obligation de recueillir le consentement préalable de l’internaute s’ils répondent à des conditions strictes établies à l’article 6 de la délibération de 2013. L’internaute devra en tout état de cause être informé de leur utilisation, et pouvoir s’y opposer.

Quels sont les faits ?

Depuis 2014, la CNIL dispose de la possibilité d’effectuer des contrôles en ligne. Par ce biais, elle peut contrôler la conformité d’un site internet à la réglementation relative aux cookies : contrôle de l’information délivrée à l’internaute, de la présence de moyens d’opposition satisfaisant, du moment où sont déposés les cookies sur le terminal de l’internaute, etc.

En l’espèce, la CNIL a procédé à deux contrôles en ligne, le 28 novembre 2014 et le 2 juin 2015. Elle a pu notamment constater que des cookies étaient déposés sur le terminal des internautes sans qu’ils en soient valablement informés et sans que des moyens d’opposition aux cookies ne soient mis à leur disposition. La CNIL a mis en demeure l’éditeur du site afin qu’il remédie aux manquements. La société éditrice affirmait s’être mise en conformité avec la réglementation en juin 2016. Ainsi, elle indiquait notamment avoir rempli son obligation d’informer les internautes sur les mécanismes d’opposition à leur disposition, car elle avait fait figurer sur son site la marche à suivre pour paramétrer leur navigateur de façon à rendre impossible le dépôt de cookies sur leur terminal. La CNIL a estimé que cela ne constituait pas un mécanisme d’opposition satisfaisant et a sanctionné la société éditrice du site.

Le paramétrage des navigateurs, une solution d’opposition aux cookies insuffisante

Le Conseil d’État, dans sa décision du 6 juin 2018, valide le raisonnement de la CNIL. La délibération de la CNIL dont il est question n’est pas publique, mais la décision du Conseil d’Etat permet d’en apprendre plus sur la position de la CNIL. Il est indiqué dans la décision du Conseil d’état qu’il « résulte de l’instruction que les éléments portés à la connaissance des utilisateurs du site

[…] ne leur permettaient ni de différencier clairement les catégories de cookies susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition ». Outre un défaut d’information des internautes, la formation restreinte de la CNIL puis le Conseil d’Etat insistent donc sur l’insuffisance de la solution d’opposition mise en avant par la société éditrice du site.

La CNIL indique, à l’article 2 de la délibération de 2013 précitée, que les internautes doivent être informés de moyens à leur disposition pour accepter ou refuser « tout ou partie des cookies nécessitant un recueil du consentement », et « par catégories de finalités, notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience ». La CNIL insiste ainsi sur la nécessité de permettre à l’internaute de choisir ce à quoi il souhaite s’opposer, en excluant le recours à une solution d’opposition globale, qui bloquerait le dépôt de tous les cookies, y compris de ceux non soumis à consentement ou ceux édités par d’autres sites. Or, le paramétrage des navigateurs ne permet pas, dans la plupart des cas, de choisir les finalités de cookies au dépôt duquel l’internaute souhaite s’opposer. Il ne s’agit donc pas d’une solution d’opposition valable pour la CNIL.

Il semble donc nécessaire pour les éditeurs de site internet de mettre à disposition des internautes d’autres mécanismes d’opposition au dépôt de cookies. La CNIL recommande notamment la mise en place de solution de tag management, qui permettent à l’internaute de signifier son opposition pour chaque catégorie de cookies directement sur le site internet.

Le responsable du site doit s’assurer du respect de la réglementation par les cookies tiers

Le Conseil d’État approuve notamment la CNIL sur un autre point. L’éditeur du site est considéré comme le responsable du traitement de données à caractère personnel engendré par les cookies déposés par le site. Si les cookies sont édités par des tiers, qui en déterminent les moyens et les finalités, l’éditeur du site est tout de même considéré comme le responsable conjoint du traitement. La CNIL soutient qu’il a alors l’obligation de s’assurer que ces cookies tiers sont conformes à la réglementation applicable, et le charge  d’« effectuer toute démarche utile » auprès des éditeurs tiers pour mettre fin à d’éventuels manquements. En somme, les éditeurs de site doivent être rigoureux dans la mise en place et l’utilisation de cookies, et s’assurer qu’ils informent correctement l’internaute, recueillent valablement son consentement et mettent à sa disposition des moyens d’opposition adéquats.

La réglementation relative aux cookies n’a pas évolué avec l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018. Il est cependant envisagé d’abroger la directive ePrivacy et de la remplacer par un règlement du même nom, qui pourra faire évoluer l’encadrement des cookies et autres traceurs.

Mathias Avocats est à votre disposition si vous souhaitez être accompagné dans l’analyse et la mise en conformité de votre site internet.