Peut-on déposer des cookies tout en proposant de paramétrer son navigateur pour espérer répondre au droit d’opposition de la loi de 1978 ? Non, a répondu la CNIL, suivie par le Conseil d’État dans un contentieux visant l’éditeur de Challenges.fr.
En mai 2017, la CNIL avait sanctionné les Éditions Croque Futur d’une amende de 25 000 euros. Deux ans plus tôt, l’éditeur bien nommé du site Challenges.fr avait été contrôlé par une délégation de la commission qui avait remonté plusieurs manquements dans ses filets. La commission laissait alors trois mois à la société pour rectifier le tir.
En vain. À l’expiration de ce délai, la CNIL avait adressé une lettre de relance, restée elle aussi sans suite. C’est dans ces conditions que la présidente de l’autorité décidait d’initier une procédure de sanction qui s’est achevée le 18 mai 2017 (inutile de rechercher la décision, la commission ne l’a pas rendue publique).
L’éditeur avait cependant contre-attaqué devant le Conseil d’État, exposant en substance que la CNIL aurait dû procéder à un nouveau contrôle pour s’assurer finalement de la conformité du traitement.
Dans son arrêt du 6 juin 2018, la haute juridiction administrative a conclu au contraire à l’absence d’irrégularité, en rappelant l’impérieux devoir de collaboration des responsables de traitement (qu’on retrouve dans le RGPD). En particulier, lorsqu’une procédure disciplinaire « fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer », prévue à l’article 21 de la loi du 6 janvier 1978.
En clair, une entreprise doit non seulement corriger les défaillances dans son système de traitement, mais au surplus collaborer activement avec l’autorité de contrôle dans le délai imparti. Et tant pis pour l'oublieuse si, finalement, les rustines avaient été apposées en temps et en heure.
Le statut des cookies publicitaires
Le point central de ce contentieux concerne néanmoins l’obligation d’information qui pèse sur les acteurs en ligne à l’égard des internautes, en particulier dans la gestion des cookies. À la lecture de la loi de 1978, on en distingue plusieurs types.
S’agissant des cookies déposés par l’éditeur, s’impose en principe une obligation d’information sur les finalités et les moyens dont disposent les utilisateurs pour s’y opposer. Deux exceptions sont prévues, à savoir les cookies techniques, essentiels au fonctionnement du site, et ceux qui correspondent à la fourniture d’un service à la demande expresse de l’utilisateur (voir la page dédiée du site de la CNIL).
Justement. La juridiction a balayé d’un revers de la main les arguments de Challenges.fr : « contrairement à ce que soutient la société, le fait que certains "cookies" ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme "strictement nécessaires à la fourniture" du service de communication en ligne ». Avec en creux, une belle gifle assénée à « l’intérêt légitime » derrière lequel s’abritent tant de sites aujourd’hui, pour tenter d’évincer le recueil du consentement, version RGPD.
Le paramétrage du navigateur pour s'opposer au dépôt des cookies
La société affirmait s’être conformée à la mise en demeure dès juin 2016 en demandant aux internautes de paramétrer leur navigateur pour s’opposer au dépôt de ces fameux cookies (voir la page « donnée personnelle » capturée au 16 juin 2016 sur Internet Archive).
Un peu trop simple... Selon la CNIL, cette astuce n’est pas un mode valable d’opposition. Grille de lecture validée par le Conseil d’État, avec une série d’arguments en béton :
« Les éléments portés à la connaissance des utilisateurs du site" www.challenges.fr " ne leur permettaient ni de différencier clairement les catégories de " cookies " susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition »
Bref, une échappatoire éparpillée façon puzzle.
Cookies tiers et co-responsabilité
Au passage, les juges ont remis les pendules à l’heure sur l’identité du responsable du traitement. Lorsqu’un site dépose un cookie, il est désigné responsable. S’il sous-traite cette tâche, « il en va de même ».
Et s’agissant des cookies tiers ? C’est un régime de coresponsabilité entre le tiers (une régie publicitaire par exemple) et le site qui a autorisé ce dépôt. Certes, la répartition des charges n’est pas équivalente. Si le tiers doit maitriser la finalité et la durée de conservation, le site doit à tout le moins s’assurer que les cookies émis par son intermédiaire respectent bien la réglementation en vigueur.
Ici, la société n’avait pas donné suite à la mise en demeure de la CNIL « de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois » pour ses cookies. Et pour ceux déposés par des tiers, déposés lors des visites, « il résulte de l'instruction que ses allégations selon lesquelles elle aurait effectué des démarches auprès de ses partenaires afin qu'ils respectent une durée de conservation ne sont étayées d'aucun élément ».
La requête de l’éditeur de Challenges.fr a donc été déboutée, et l’amende confirmée dans toute sa latitude.
