L’utilisation de cookies constitue un traitement de données

 

 

 

La Commission nationale de l’informatique et des libertés (CNIL) a diligenté une mission de contrôle auprès de la société Editions Croque Futur, qui édite le site « www.challenges.fr ». Plusieurs manquements aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi CNIL) ayant été constatés à l’occasion de ce contrôle, la présidente de la CNIL a mis en demeure la société de se conformer, sous un délai de trois mois, à ces dispositions.

La société a répondu que le développement du site « www.challenges.fr » dépendait des moyens techniques du journal Nouvel observateur. Elle annonçait cependant qu’un état des mesures prises pour se conformer à la mise en demeure serait adressé avant l’expiration du délai de trois mois.

En l’absence de la réponse annoncée, un courrier de relance a été adressé à la société postérieurement à l’expiration du délai de mise en demeure. Aucune suite n’ayant été donnée à cette relance, la présidente de la CNIL a engagé une procédure de sanction et a infligé une sanction de 25.000 € à l’encontre de la société.

C’est l’occasion pour le Conseil d’Etat de revenir sur la procédure de sanction dont dispose la CNIL.

Cette sanction reposait sur la procédure prévue aux articles 45 et 59 de la loi CNIL qui impose l’envoi d’une mise en demeure avant le prononcé d’une sanction. Cette mise en demeure a pour objet de permettre à la personne mise en demeure de porter à la connaissance de la CNIL tous les éléments qui lui permettent si et dans quelle mesure il a été donné suite à ses injonctions dans le délai prévu. En effet, la CNIL restant libre de procéder à un nouveau contrôle ou non, il est impératif que la personne mise en demeure puisse justifier avoir fait le nécessaire pour remédier aux points litigieux.

Le Conseil d’Etat rappelle donc « qu’une procédure disciplinaire peut être légalement engagée au seul motif qu’à cette date, la personne mise en cause n’a transmis aucun élément suffisant permettant d’apprécier si et dans quelle mesure il a été remédié aux manquements constatés ».

En d’autres termes, en cas de procédure de sanction, la personne mise en cause doit expressément adresser à la CNIL les mesures correctrices apportées sans attendre que la CNIL n’engage une nouvelle instruction.

Le Conseil d’Etat rappelle ensuite les obligations reposant sur le responsable en matière d’utilisation de cookies.

L’article 32 de la loi CNIL institue une obligation d’information claire et complète des utilisateurs d’internet sur les témoins de connexion (« cookies ») qui sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu’ils visitent un site, ces témoins de connexion et les informations qu’ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l’aide du même terminal. Elles imposent :

  • une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d’internet, sur la finalité de ces « cookies » et les moyens dont ils disposent pour s’y opposer;

  • le recueil de leur consentement avant tout dépôt de « cookies » sur le terminal grâce auquel ils accèdent à ces services.

Mais, précise le Conseil d’Etat, « ne sont pas concernés par ces obligations les « cookies » qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. En revanche, le fait que certains « cookies » ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne ».

Surtout, le Conseil d’Etat considère que l‘éditeur du site est responsable des cookies :

« L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 constitue un traitement de données qui doit respecter les prescriptions de l’article 6 précité. Lorsque des « cookies » sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de « cookies » mis en place pour son compte. Les autres tiers qui déposent des « cookies » à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement ».

Toutefois ajoute le Conseil d’Etat, « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation ».

Il appartient donc à l’éditeur de site dans une telle hypothèse, de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des « cookies » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Source : CE, 6 juin 2018, n° 412589

0 Comments

Leave a Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *