Dans un arrêt du 6 juin 2018 (n°412589), le Conseil d’état est venu rappeler que les cookies constituent un traitement de données à caractère personnel pour lequel il convient d’appliquer les dispositions de la Loi n°78-17 du 6 janvier 1978 dite Loi informatique et Libertés (LIL).
En l’espèce, la Commission nationale de l’informatique et des libertés (CNIL) a diligenté le 27 novembre 2014 une mission de contrôle auprès de la société Editions Croque Futur éditrice du site www.challenges.fr
Après avoir effectué des constatations en 2014 et 2015, plusieurs manquements aux dispositions de la Loi informatique et libertés ont été relevés par la CNIL. La Présidente de la CNIL a alors mis en demeure la société de se conformer, sous un délai de trois mois, à ces dispositions.
La société Editions Croque Futur a alors répondu à la CNIL que le développement du site www.challenges.fr dépendait des moyens techniques du journal Nouvel Observateur et que des mesures seraient prises pour se conformer à la mise en demeure.
Néanmoins, en l’absence de réponse de la société à l’expiration du délai de mise en demeure, la CNIL a relancé la société.
Cette relance étant restée sans réponse, la CNIL a, par une délibération du 18 mai 2017[1], infligé à la société Edition Croque Futur une sanction pécuniaire de 25 000€.
La société a donc formé un recours contre la décision de la CNIL qui lui avait reproché :
- Un manquement à l’obligation d’information par le responsable de traitement (1) ;
- Un manquement à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition en cas de dépôt de cookies sur les terminaux des utilisateurs (2) ;
- Un manquement relatif à la durée de conservation des cookies (3) ;
- Un manquement à l’obligation de coopération avec la CNIL (4).
1. .Sur le manquement à l’obligation d’information par le responsable de traitement
L’article 32 de la LIL impose au responsable de traitement d’informer les personnes concernées de :
- L’identité du responsable de traitement ;
- De la finalité poursuivie par le traitement ;
- Du caractère obligatoire ou facultatif des réponses aux questions posées ;
- Des conséquences éventuelles d’un défaut de réponse ;
- Des destinataires et catégories de destinataires des données ;
- De ses droits (droit d’accès, de rectification, d’opposition etc);
- Des transferts de données en dehors de l’Union européenne.
Lors du contrôle, la CNIL avait constaté que le formulaire présent sur le site internet www.challenges.fr permettant de se créer un compte, ne contenait pas l’intégralité des informations visées par l’article 32 de la LIL. Seuls les droits d’opposition, d’accès et de rectification étaient mentionnés.
Sur ce point, le Conseil d’état a relevé que c’est à bon droit que la CNIL avait sanctionné la société Editions Croque Futur.
2. Sur le manquement à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition en cas de dépôt de cookies sur les terminaux des utilisateurs
L’article II de l’article 32 de la loi de 1978 impose au responsable de traitement d’informer les utilisateurs sur les finalités du traitement (donc sur les finalités des cookies) et sur les moyens de s’y opposer.
Le Conseil d’état rappelle qu’il est également nécessaire de recueillir le consentement de la personne concernée avant le dépôt du cookie, à moins que ce cookie ne soit nécessaire au fonctionnement du site ou qu’il permette la fourniture du service à la demande de l’utilisateur.
En revanche, « le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme strictement nécessaires à la fourniture du service de communication en ligne ».
Partant de ce constat, le Conseil d’état pointe le fait que les éléments portés à la connaissance des utilisateurs du site ne leur permettaient pas de différencier clairement les catégories de cookies susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt nécessite leur consentement préalable. Les utilisateurs n’étaient pas non plus informés des conséquences de leur éventuelle opposition aux cookies en termes de navigabilité sur le site.
Le Conseil a donc approuvé la CNIL en ce qu’elle avait considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies et en déduit que les obligations d’information et de mise en œuvre d’un mécanisme d’opposition n’étaient pas remplies.
3. Sur le manquement à l’obligation de définir et respecter des durées de conservation des données
L’article 6 5° de la LIL précise que les données à caractère personnel d’une personne physique sont conservées « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Le Conseil d’état rappelle tout d’abord que l’utilisation de cookies constitue un traitement de données à caractère personnel et que par conséquent, l’article 6 5° de la LIL leur est applicable.
Ainsi, lorsque des cookies sont déposés par l’éditeur d’un site, il doit être considéré comme un responsable de traitement. Cela est également vrai si l’éditeur sous-traite la gestion des cookies à un tiers.
Toutefois, le Conseil d’Etat rappelle que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ».
L’éditeur d’un site doit donc vérifier les types de cookies déposés par ses partenaires afin d’informer valablement les personnes des finalités et des moyens de s’y opposer.
En l’espèce, la société Editions Croque Futur en tant que responsable de traitement se devait de se conformer à l’article 6-5° de la LIL qui impose de définir et respecter les durées de conservation en matière de cookies.
La CNIL préconise que les données afférentes aux cookies soient conservées pendant 13 mois maximum.
Si les cookies déposés à l’occasion de la visite du site étaient bien conservés 13 mois, en revanche la durée de conservation concernant les cookies déposés par les tiers n’était pas conforme à la législation française.
Bien que la société Editions Croque Futur ait affirmé avoir effectué des démarches auprès de ses partenaires pour qu’ils respectent les durées de conservation, elle n’a étayé ses propos d’aucun élément probant.
Le Conseil d’état a donc approuvé la sanction de la CNIL sur ce point également.
4. Sur le manquement à l’obligation de coopération avec la CNIL
Comme le rappelle le Conseil d’état, il découle de l’article 21 de la LIL une obligation de coopération qui implique que les personnes mises en demeure par la CNIL lui communiquent, au plus tard à l’expiration du délai inclus dans la mise en demeure, les mesures prises pour remédier aux manquements.
En l’espèce, la société Editions Croque Futur a failli à cette obligation et c’est donc à bon droit que la CNIL a sanctionné le manquement.
Pour tous les manquements précités, le Conseil d’état a, dans son arrêt du 6 juin 2018, validé la sanction de 25 000€ prononcée par la CNIL et a donc rejeté la requête de la société Editions Croque Futur visant à réformer la délibération de la CNIL.
Il ressort de cette décision que la majorité des sites web sont non-conformes à la règlementation : s’ils indiquent bien les finalités dans le « bandeau cookies », il est souvent renvoyé aux paramètres du navigateur pour gérer ses préférences ou supprimer les cookies, ce que la CNIL considère depuis longtemps comme n’étant pas satisfaisant.
Il faut également retenir qu’avant de faire usage de Google analytics ou autres types de traceurs tiers, la vérification des délais de conservation s’impose.
Prochaine étape en matière de réglementation des cookies : la révision de la Directive E-privacy
Charlotte GALICHET
[1] Délibération SAN-2017-007 du 18 mai 2017