Les cookies peuvent coûter très cher …
Publié le 18/06/2018 par Etienne Wery
Le conseil d’Etat valide la décision de la CNIL ayant imposé une amende de 25.000 € pour violation du cadre juridique en matière de cookies. En particulier, la décision refuse de considérer qu’un cookie publicitaire est « strictement nécessaires à la fourniture » du service, même si la publicité ainsi permise est nécessaire à la viabilité économique du site.
Un cookie est un fichier contenant des informations stockées dans le terminal de l’utilisateur. Ce terminal n’est pas seulement le PC ; cela peut aussi être une tablette ou un téléphone portable avec un accès à l’Internet.
C’est l’article 32-II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE. La loi constitue en effet la transposition de ce que l’on appelle le paquet télécom européen : un ensemble de directives (dont la Directive e-Privacy 2002/58/CE) qui ont modifié en profondeur le cadre juridique des communications électroniques.
Peu importe la nature du cookie, sa finalité ou son contenu, dès que cette technologie est utilisée, la loi s’applique.
Cette disposition est d’application jusqu’à l’entrée en vigueur du règlement européen e-Privacy (actuellement toujours au stade de la proposition).
Rappel des principes
a) Lien avec les données personnelles
Les cookies ont ceci de particulier qu’ils impliquent bien souvent (sauf exception) des données à caractère personnel. C’est pourquoi le législateur a choisi de transposer la directive dans la loi générale sur les données personnelles.
La première obligation consiste donc à respecter le cadre juridique applicable aux données personnelles. Pour rappel, ce cadre est en pleine mutation avec le GDPR.
b) L’utilisateur ou l’abonné doit être informé
Cette information doit être fournie avant l’installation du cookie et doit être conforme à la réglementation en matière de données à caractère personnel.
Le contenu de l’information délivrée à l’internaute dépend du contexte et du moyen utilisé pour délivrer cette information. La CNIL rappelle que : « l’important est de préciser de manière claire la finalité du cookie et de décrire le moyen dont l’internaute dispose pour s’opposer à ce cookie. » L’autorité française donne l’exemple suivant : si la finalité est de permettre à une régie de publicité extérieure de proposer des publicités ciblées, il faudra signaler à l’internaute que la finalité consiste à « analyser vos centres d’intérêts pour vous proposer des publicités personnalisées », et pas seulement d’annoncer une « finalité publicitaire ».
c) L’utilisateur ou l’abonné doit avoir donné son consentement
Le consentement est défini comme une manifestation de volonté qui doit être :
- Libre : cela doit résulter du libre choix de l’utilisateur.
- Spécifique : le consentement doit porter sur un cookie précis associé à une finalité précise ;
- Informée : l’information donnée doit préciser la finalité du cookie ainsi que la possibilité de s’opposer ultérieurement à l’utilisation des cookies ;
- Résulter d’une déclaration ou d’un acte positif clair, par exemple le fait de cocher une case, sélectionner les paramètres d’un service ou d’une application, ou encore toute autre déclaration ou tout comportement qui indiquent de façon claire et dans un contexte déterminé, l’acceptation par la personne concernée du traitement de ses données à caractère personnel.
On ajoutera que ce consentement doit pouvoir être retiré ultérieurement, de manière simple.
d) Exceptions
Certains cookies ne nécessitent pas d’information préalable ni de consentement. L’exigence d’information préalable et de consentement disparaît pour les cookies qui :
- ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
L’arrêt du Conseil d’Etat
a) Sur le manquement à l’obligation d’information
L’instruction de la CNIL a établi que vu les informations portées à leur connaissance, les utilisateurs du site www.challenges.fr ne pouvaient ni différencier clairement les catégories de cookies susceptibles d’être déposés sur leur terminal, ni s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition.
Le titulaire du site rétorquait que la mise en conformité découlait de la possibilité de paramétrage du navigateur de l’utilisateur du site.
Insuffisant, dit le Conseil d’Etat qui considère que « c’est à bon droit que la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies et en a déduit qu’il n’avait pas été remédié au manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion. »
b) Sur la durée de conservation
La société titulaire du site n’avait pas donné suite à la mise en demeure de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois pour les cookies déposés à l’occasion de la visite du site qu’elle édite.
En particulier, la société se retranchait derrière les éditeurs de cookies tiers, affirmant avoir effectué des démarches auprès de ses partenaires afin qu’ils respectent cette durée de conservation.
Irrelevant, estime le Conseil d’Etat pour qui « c’est à bon droit et sans méconnaître le principe de la responsabilité personnelle que la formation restreinte de la CNIL a estimé qu’il n’avait pas été remédié au manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement. »
c) Sur les exceptions
On a vu dans le rappel ci-dessus que ne sont pas concernés par les obligations légales les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
La société éditrice du site soutenait que certains cookies ayant une finalité publicitaire étaient nécessaires à la viabilité économique de son site et étaient dès lors « strictement nécessaires à la fourniture » du service.
Suivant en cela la position de la CNIL, le conseil d’Etat refuse cette interprétation large du critère de nécessité.
Plus d’infos ?
En lisant l’arrêt du Conseil d’Etat, disponible en annexe.