Le 27 juillet 2016, la Commission Nationale de l’Informatique et des Libertés (CNIL) avait annoncé procéder à des contrôles auprès des émetteurs de publicité en ligne, tiers aux éditeurs de sites Internet. Ces contrôles avaient pour but de permettre d’identifier, la qualité tant des éditeurs que des émetteurs tiers dans le cadre des traitements de données à caractère personnel mis en oeuvre dans le cadre de la publicité ciblée notamment au moyen de cookies tiers. La CNIL souhaitait ainsi identifier les obligations et la responsabilité de chacun des acteurs.

C’est maintenant chose faite. Après le contrôle de treize émetteurs de cookies dit tiers établis en France et aux Etats-Unis, la CNIL a publié ses conclusions le 23 mai dernier.

Cookies tiers : de quoi s’agit-il ?

Dans un avis du 7 juin 2012 sur l’exemption de l’obligation de consentement pour certains cookies, le Groupe de l’Article 29 a défini la notion de cookies tiers autrement appelés cookies third party (Avis 04/2012).

A partir de la définition du « tiers » au sens de la directive 95/46/CE, le Groupe de l’Article 29 donne les deux acceptions suivantes des cookies tiers :

1) Il peut s’agir de cookies déposés par un responsable de traitements distinct de celui qui édite et exploite le site Internet à partir duquel ils sont déposés.

2) Il peut s’agir de cookies déposés par des sites Internet appartenant à un domaine distinct de celui du site Internet à partir duquel ils sont déposés. Dans cette acception, l’existence de responsables de traitements différents est indifférente.

Il semblerait qu’en pratique, la CNIL opte pour la seconde acception. A titre d’illustration, la récente délibération de la CNIL prononçant une sanction pécuniaire contre un célèbre réseau social américain fait référence aux cookies tiers comme ceux « issus de domaine tiers au site facebook.com » (Délibération n°SAN – 2017-006 du 27 avril 2017).

Cookies tiers : Qui est responsable du traitement ? Qui est sous-traitant ?

La CNIL a identifié trois cas :

1) Les cookies tiers sont déposés par l’émetteur tiers afin de traiter des données pour le compte de l’éditeur du site Internet

La CNIL considère que l’éditeur du site Internet a la qualité de responsable du traitement.  C’est ce dernier qui définit les finalités et les moyens du traitement des données à caractère personnel collectées via les cookies déposés par l’émetteur tiers. Ce dernier a, quant à lui, la qualité de sous-traitant dans la mesure où il agit pour le compte de l’éditeur du site et sur ses instructions. En conséquence, il appartient à l’éditeur du site Internet de se conformer à la réglementation applicable à la protection des données à caractère personnel et de définir les obligations en la matière de son sous-traitant dans le contrat de prestations qui les lie.

2) Les cookies tiers sont déposés par l’émetteur tiers afin de lui permettre de traiter les données à caractère personnel collectées

La CNIL considère que l’émetteur des cookies n’agit pas pour le compte de l’éditeur du site Internet ni sur ses instructions. Au contraire, c’est lui qui définit la finalité et les moyens du traitement des données à caractère personnel. Dans ce contexte, c’est l’émetteur tiers qui a la qualité de responsable du traitement, l’éditeur du site Internet ayant pour la CNIL la qualité de sous-traitant.

3) Les cookies tiers sont déposés afin de permettre tant à l’éditeur du site Internet qu’à l’émetteur tiers de traiter les données à caractère personnel collectées

Chacun des acteurs à la qualité de responsable du traitement mis en oeuvre.

Que retenir ?

Il convient de souligner que la CNIL considère, qu’en tout état de cause, il appartient à l’éditeur du site Internet de procéder à l’information directe des internautes sur les cookies (finalités, obtention du consentement préalable et modalités dont les internautes disposent pour s’y opposer) quelle que soit sa qualité. Aussi, les éditeurs de sites Internet à partir desquels des cookies tiers sont déposés sont encouragés à solliciter des tiers émetteurs la communication des solutions d’opposition au dépôt des cookies qu’ils émettent et à obtenir des garanties contractuelles en la matière.

Par ailleurs, lorsque les données à caractère personnel seront exploitées par le seul tiers émetteur, il appartiendra à ce dernier de veiller à ce que l’information délivrée par l’éditeur du site Internet concernant le traitement mis en oeuvre soit complète et conforme à la réglementation applicable. L’émetteur tiers aura intérêt à communiquer à l’éditeur du site Internet la mention d’information et plus généralement l’ensemble des éléments nécessaires.