Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Les cookies peuvent coûter très cher …

Publié le par

Le conseil d’Etat valide la décision de la CNIL ayant imposé une amende de 25.000 € pour violation du cadre juridique en matière de cookies. En particulier, la décision refuse de considérer qu’un cookie publicitaire est « strictement nécessaires à la fourniture » du service, même si la publicité ainsi permise est nécessaire à la viabilité économique du site.

Un cookie est un fichier contenant des informations stockées dans le terminal de l’utilisateur. Ce terminal n’est pas seulement le PC ; cela peut aussi être une tablette ou un téléphone portable avec un accès à l’Internet.

C’est l’article 32-II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE. La loi constitue en effet la transposition de ce que l’on appelle le paquet télécom européen : un ensemble de directives (dont la Directive e-Privacy 2002/58/CE) qui ont modifié en profondeur le cadre juridique des communications électroniques.

Peu importe la nature du cookie, sa finalité ou son contenu, dès que cette technologie est utilisée, la loi s’applique.

Cette disposition est d’application jusqu’à l’entrée en vigueur du règlement européen e-Privacy (actuellement toujours au stade de la proposition).

Rappel des principes

a) Lien avec les données personnelles

Les cookies ont ceci de particulier qu’ils impliquent bien souvent (sauf exception) des données à caractère personnel. C’est pourquoi le législateur a choisi de transposer la directive dans la loi générale sur les données personnelles.

La première obligation consiste donc à respecter le cadre juridique applicable aux données personnelles. Pour rappel, ce cadre est en pleine mutation avec le GDPR.

b) L’utilisateur ou l’abonné doit être informé

Cette information doit être fournie avant l’installation du cookie et doit être conforme à la réglementation en matière de données à caractère personnel.

Le contenu de l’information délivrée à l’internaute dépend du contexte et du moyen utilisé pour délivrer cette information. La CNIL rappelle que : « l’important est de préciser de manière claire la finalité du cookie et de décrire le moyen dont l’internaute dispose pour s’opposer à ce cookie. » L’autorité française donne l’exemple suivant : si la finalité est de permettre à une régie de publicité extérieure de proposer des publicités ciblées, il faudra signaler à l’internaute que la finalité consiste à « analyser vos centres d’intérêts pour vous proposer des publicités personnalisées », et pas seulement d’annoncer une « finalité publicitaire ».

c) L’utilisateur ou l’abonné doit avoir donné son consentement

Le consentement est défini comme une manifestation de volonté qui doit être :

  • Libre : cela doit résulter du libre choix de l’utilisateur.
  • Spécifique : le consentement doit porter sur un cookie précis associé à une finalité précise ;
  • Informée : l’information donnée doit préciser la finalité du cookie ainsi que la possibilité de s’opposer ultérieurement à l’utilisation des cookies ;
  • Résulter d’une déclaration ou d’un acte positif clair, par exemple le fait de cocher une case, sélectionner les paramètres d’un service ou d’une application, ou encore toute autre déclaration ou tout comportement qui indiquent de façon claire et dans un contexte déterminé, l’acceptation par la personne concernée du traitement de ses données à caractère personnel.

On ajoutera que ce consentement doit pouvoir être retiré ultérieurement, de manière simple.

d) Exceptions

Certains cookies ne nécessitent pas d’information préalable ni de consentement. L’exigence d’information préalable et de consentement disparaît pour les cookies qui :

  • ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

L’arrêt du Conseil d’Etat

a) Sur le manquement à l’obligation d’information

L’instruction de la CNIL a établi que vu les informations portées à leur connaissance, les utilisateurs du site www.challenges.fr ne pouvaient ni différencier clairement les catégories de cookies susceptibles d’être déposés sur leur terminal, ni s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition.

Le titulaire du site rétorquait que la mise en conformité découlait de la possibilité de paramétrage du navigateur de l’utilisateur du site.

Insuffisant, dit le Conseil d’Etat qui considère que « c’est à bon droit que la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies et en a déduit qu’il n’avait pas été remédié au manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion. »

b) Sur la durée de conservation

La société titulaire du site n’avait pas donné suite à la mise en demeure de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois pour les cookies déposés à l’occasion de la visite du site qu’elle édite.

En particulier, la société se retranchait derrière les éditeurs de cookies tiers, affirmant avoir effectué des démarches auprès de ses partenaires afin qu’ils respectent cette durée de conservation.

Irrelevant, estime le Conseil d’Etat pour qui « c’est à bon droit et sans méconnaître le principe de la responsabilité personnelle que la formation restreinte de la CNIL a estimé qu’il n’avait pas été remédié au manquement à l’obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement. »

c) Sur les exceptions

On a vu dans le rappel ci-dessus que ne sont pas concernés par les obligations légales les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

La société éditrice du site soutenait que certains cookies ayant une finalité publicitaire étaient nécessaires à la viabilité économique de son site  et étaient dès lors « strictement nécessaires à la fourniture » du service.

Suivant en cela la position de la CNIL, le conseil d’Etat refuse cette interprétation large du critère de nécessité.

Plus d’infos ?

En lisant l’arrêt du Conseil d’Etat, disponible en annexe.

Droit & Technologies

Annexes

Arrêt du conseil d’Etat

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK