Dans une décision en date du 6 juin 2018, le Conseil d’Etat a confirmé la position de la CNIL (Commission Nationale de l’Informatique et des Libertés) qui avait, par une délibération du 18 mai 2017, prononcé une sanction pécuniaire de 25 000 euros contre l’éditeur du site challenges.fr. La juridiction administrative rappelle à cette occasion que l’utilisation de « cookies » doit respecter les règles posées par l’article 32 II. de la loi du 6 janvier 1978 relatives à l’information à délivrer aux personnes concernées et à la responsabilité de l’éditeur du site.
Le 27 novembre 2014, le service des contrôles de la CNIL avait effectué une mission auprès de la société Editions Croque Futur qui édite le site « www.challenge.fr ». Différents manquements à la loi du 6 janvier 1978 modifiée dite « Informatique et Libertés » et notamment des carences quant à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de témoins de connexion sur le terminal de l’utilisateur avaient été constatés. La société Editions Croque Futur est alors mise en demeure de mettre fin à ces manquements par la Commission, mais n’y donne aucune suite. La présidente de la CNIL décide d’engager une procédure de sanction et la formation restreinte de la Commission inflige à la société une sanction pécuniaire de 25 000 euros. Celle-ci forme un recours contre la décision de la CNIL devant le Conseil d’Etat.
Les cookies ayant une finalité publicitaire nécessaire à la viabilité économique d’un site ne bénéficie d’aucune dérogation
La haute juridiction rappelle que les dispositions de l’article 32 II. de la loi du 6 janvier 1978 imposent une information sur les finalités des cookies déposés, sur les moyens dont dispose la personne concernée pour s’y opposer, ainsi que le recueil du consentement avant tout dépôt, sauf pour les cookies essentiels au fonctionnement technique du site et les cookies correspondant à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. En l’espèce, les juges rejettent l’argumentation de la société éditrice du site internet et précisent que sont exclus de ces exceptions « les cookies ayant une finalité publicitaire nécessaires à la viabilité économique d’un site ».
En l’absence d’une information conforme des personnes, le paramétrage du navigateur ne constitue pas un mode valable d’opposition
Sur le manquement à l’obligation d’information, la haute juridiction relève que les éléments d’information fournis par la société d’édition ne portent pas sur l’intégralité des mentions prévues par l’article 32 II. de la loi du 6 janvier 1978 qui prévoit que « l’utilisateur d’un service de communications électroniques doit être informé de manière claire […] par le Responsable du traitement de la finalité de toute action tendant à accéder […] à des informations déjà stockées dans son équipement terminal de communications électroniques […], [et] des moyens dont il dispose pour s’y opposer ». Ces carences entraînent donc un manquement à l’obligation d’information de la société.
Sur le manquement à la mise en œuvre d’un mécanisme d’opposition, la juridiction relève ensuite que dans les faits, les éléments portés à la connaissance des personnes ne leur permettaient ni de différencier clairement les catégories de cookies, ni de s’opposer, ni de connaître les conséquences de leur éventuelle opposition. Par conséquent, elle en déduit que « le paramétrage du navigateur proposé aux utilisateurs ne constitue pas un mode valable d’opposition au dépôt de cookies », et que subsiste le manquement à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition.
Toutefois, on peut s’interroger sur la portée d’une telle décision. En effet, c’est bien parce que les éléments portés à la connaissance des utilisateurs ne permettaient pas une information équitable et transparente (« dans ces conditions ») que la CNIL a pu considérer que « le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies ». De plus, l’article 32 indique que « ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif et connexion ». Il peut donc être permis de raisonner a contrario, si les éléments d’information fournis avaient été conformes, le paramétrage du navigateur proposé aux utilisateurs aurait pu constituer un mode valable d’opposition au dépôt de cookies. Ce mode d’opposition n’est donc pas à exclure dans l’absolu.
L’utilisation de cookies tiers constitue un traitement de données
Les juges considèrent que les éditeurs de site qui autorisent le dépôt et l’utilisation de cookies tiers doivent être considérés comme Responsable du traitement. L’éditeur qui autorise le tiers à émettre des cookies sur son site doit « s’assurer auprès de ses partenaires qu’ils n’émettent pas des cookies qui ne respectent pas la réglementation applicable en France et effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements ».
On peut là aussi s’interroger sur la portée de cette décision. En effet, le 23 mai 2017, la CNIL précisait ses règles en matière de cookies et indiquait que lorsque l’éditeur d’un site ne définit pas les modalités et objectifs d’exploitation des données collectées, seul le tiers peut voir sa responsabilité engagée.
Outre une portée discutable, il faut aussi noter que cette affaire a été tranchée sous l’empire de la loi du 6 janvier 1978 applicable au moment des faits en 2016. Depuis le 25 mai 2018, date d’entrée en application du RGPD (Règlement Général sur la Protection des Données), et l’adaptation du droit national par la loi dite « CNIL 3 », les sanctions pour un tel manquement peuvent maintenant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaire de la société.