Quel était le contexte ? 

A la suite d’une plainte de l’association « Privacy International » et d’une réclamation de l’association « None Of Your Business » portant sur les modalités d’exercice du droit d’accès, la CNIL a réalisé un contrôle relatif aux traitements de données mis en œuvre par la société, sa qualification en tant que responsable de traitement, ses relations avec ses clients et partenaires et enfin sur la gestion des demandes d’exercice de droits. Le 13 octobre 2020, à partir d’une liste fournie par la société contrôlée des cents sites Web par l’intermédiaire desquels elle collecte le plus de données, la délégation a mené des vérifications pour déterminer les modalités de dépôt du cookie propre à la société sur le terminal des utilisateurs et ainsi les modalités de recueil du consentement.

En effet, la société mise en cause est spécialisée dans le « re ciblage publicitaire ». Cette pratique vise à suivre les habitudes de navigation des internautes au moyen de cookies déposés sur les terminaux des utilisateurs afin de leur proposer des publicités personnalisées.

Concrètement, la société utilise des cookies pour collecter les données de navigation des internautes lorsqu’ils visitent des sites partenaires. Autrement dit, un cookie est placé dans le navigateur de l’appareil de l’internaute, auquel est attribué un identifiant unique (ID). Cet identifiant permet à la société de reconnaître l’internaute lors de ses visites ultérieures sur d’autres sites partenaires.

Ainsi, lorsque l’internaute visite le site web d’un annonceur partenaire, la société enregistre dans sa base de données les actions de l’internaute à l’aide du cookie. Cela peut inclure la visite de la page d’accueil, la connexion à un compte utilisateur, le clic sur une page du produit ou l’ajout d’un article au panier d’achat.

C’est dans ce contexte que la CNIL a relevé plusieurs manquements.

Manquement à l’obligation de recueillir un consentement valide (article 7.1 du RGPD)

La CNIL considère que la société sanctionnée n’a mis en place aucune mesure lui permettant de s’assurer que les données collectées dans le cadre du traitement de re ciblage publicitaire ont préalablement fait l’objet d’un consentement. En effet, parmi la liste des partenaires qu’elle a fournie, plus de la moitié ne recueillait pas un consentement valide. La CNIL affirme que le rôle des partenaires dans le dépôt des cookies n’exemptait pas la société d’être en mesure de démontrer que les personnes concernées avaient effectivement consenti à ce dépôt.

La société et les partenaires étant responsables conjoints, la CNIL s’appuie sur les recommandations du Comité européen de la protection des données (CEPD) pour rappeler que ceux-ci « sont toujours tenus de veiller à disposer tous deux d’une base juridique pour le traitement » et qu’ils « peuvent disposer d’un certain degré de flexibilité dans la répartition et l’attribution des obligations entre eux, pour autant qu’ils garantissent le plein respect des exigences du RGPD en ce qui concerne le traitement spécifique ».

Il est également fait grief à la société de ne pas avoir mis en œuvre un mécanisme d’audit auprès de ses partenaires afin de vérifier la validité dudit consentement.

Manquement aux obligations d’information et de transparence (articles 12 et 13 du RGPD)

La formation restreinte soulève plusieurs manquements au sujet de la politique de confidentialité de la société. Il lui est notamment reproché son manque d’information sur les finalités des traitements et notamment la finalité relative à l’amélioration de ses technologies.

La formation relève qu’une nouvelle version de la politique de confidentialité a été mise en ligne au cours de la procédure par la société, laquelle distingue depuis lors la finalité « affichage de publicités personnalisées » et la finalité « entrainement des modèles permettant d’améliorer les performances des opérations publicitaires ».

Cette mesure correctrice ne permet toutefois pas de régulariser pour le passé le manque de transparence de l’ancienne politique de confidentialité découlant notamment de l’utilisation de termes insuffisamment clairs et précis.  

Manquement à l’obligation de respecter le droit d’accès des personnes aux données à caractère personnel les concernant (article 15.1 du RGPD)

Alors que six bases de données étaient détenues par la société sanctionnée, seules trois étaient listées lors de la réponse apportée au demandeur. Concernant les tableaux communiqués, il est reproché à la société de ne pas avoir fourni aux personnes concernées une grille de lecture pour comprendre effectivement les traitements mis en œuvre.

Manquement au respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)

Lorsqu’une personne concernée exerçait son droit à l’effacement de ses données personnelles par le biais du bouton fourni à cet effet par la société, cette dernière se limitait à interrompre la collecte de données à caractère personnel au moyen de son cookie. En revanche, les données n’étaient pas supprimées.

Manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement

La société a été sanctionnée car les obligations respectives des responsables de traitements vis-à-vis des exigences du RGPD n’étaient pas précisées par l’accord conclu par la société avec ses partenaires. Certaines obligations, telles que l’exercice des droits des personnes concernées, l’obligation de notifier une violation de données à l’autorité de contrôle et aux personnes concernées, ainsi que la réalisation d’une étude d’impact (article 35 du RGPD) n’étaient pas spécifiées.

D’abord, ni le rapporteur, ni la formation restreinte de la Cnil ne remettent en cause la qualification juridique de la société et de ses partenaires.

Ensuite, notons que la formation restreinte de la Cnil a néanmoins relevé qu’un nouvel accord intégrant l’ensemble des exigences de l’article 26 du RGPD a été déployé par la société sanctionnée à compter du 5 juillet 2022.

En dernier lieu, la délibération de la formation restreinte ne précise pas si les partenaires, responsables conjoints ont fait ou feront l’objet d’une mesure adoptée par la présidente de la Cnil (mise en demeure) ou d’une procédure de sanction compte tenu du manquement constaté.

Que retenir de cette décision ?

La Commission porte une attention particulière aux modalités d’exercice des droits par les personnes concernées et ce, d’autant plus depuis la publication par le Comité européen de la protection des données (European Data Protection Board – EDPB) de ses lignes directrices relatives à l’exercice du droit d’accès. Ces dernières prévoient, de façon détaillée, les modalités concrètes d’exercice de ce droit et l’ensemble des obligations qui pèsent sur le responsable de traitement. Ce dernier doit communiquer au requérant l’ensemble des données traitées le concernant (nom, prénom, adresse, numéro de téléphone, résultats médicaux, historique des achats, contenu des communications, indicateurs de solvabilité, données supprimées etc.). Il doit fournir une copie lisible, claire et compréhensible des données traitées.

Plus précisément, le responsable de traitement doit communiquer une grille de lecture claire et compréhensible pour permettre à la personne concernée de comprendre les traitements effectués sur ses données. Rappelons également que la Cour de justice de l’Union européenne s’est récemment prononcée sur le périmètre du droit d’accès et qu’elle est amenée à se prononcer à nouveau dans les mois à venir sur l’exercice de ce droit dans le cadre du scoring.

Enfin, cette délibération rappelle l’attention particulière portée par la Commission sur l’encadrement contractuel des enjeux relatifs à la protection des données à caractère personnel en fonction des qualifications retenues. Le 28 mars dernier, la CNIL a prononcé une amende de 125 000 euros à l’encontre d’une société notamment pour un manquement à l’obligation d’encadrer contractuellement les traitements effectués par un sous-traitant. La CNIL avait alors constaté que trois contrats conclus avec des sous-traitants ne contenaient pas les mentions obligatoires prévues par le RGPD.