Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Justice : un site ne peut se défausser sur le navigateur pour l'opposition aux cookies publicitaires

Pas un Geste !
Droit 4 min
Justice : un site ne peut se défausser sur le navigateur pour l'opposition aux cookies publicitaires
Crédits : Marc Rees (licence CC-BY-SA 3.0)

Peut-on déposer des cookies tout en proposant de paramétrer son navigateur pour espérer répondre au droit d’opposition de la loi de 1978 ? Non, a répondu la CNIL, suivie par le Conseil d’État dans un contentieux visant l’éditeur de Challenges.fr.

En mai 2017, la CNIL avait sanctionné les Éditions Croque Futur d’une amende de 25 000 euros. Deux ans plus tôt, l’éditeur bien nommé du site Challenges.fr avait été contrôlé par une délégation de la commission qui avait remonté plusieurs manquements dans ses filets. La commission laissait alors trois mois à la société pour rectifier le tir.

En vain. À l’expiration de ce délai, la CNIL avait adressé une lettre de relance, restée elle aussi sans suite. C’est dans ces conditions que la présidente de l’autorité décidait d’initier une procédure de sanction qui s’est achevée le 18 mai 2017 (inutile de rechercher la décision, la commission ne l’a pas rendue publique).

L’éditeur avait cependant contre-attaqué devant le Conseil d’État, exposant en substance que la CNIL aurait dû procéder à un nouveau contrôle pour s’assurer finalement de la conformité du traitement.

Dans son arrêt du 6 juin 2018, la haute juridiction administrative a conclu au contraire à l’absence d’irrégularité, en rappelant l’impérieux devoir de collaboration des responsables de traitement (qu’on retrouve dans le RGPD). En particulier, lorsqu’une procédure disciplinaire « fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer », prévue à l’article 21 de la loi du 6 janvier 1978.

En clair, une entreprise doit non seulement corriger les défaillances dans son système de traitement, mais au surplus collaborer activement avec l’autorité de contrôle dans le délai imparti. Et tant pis pour l'oublieuse si, finalement, les rustines avaient été apposées en temps et en heure.

Le statut des cookies publicitaires 

Le point central de ce contentieux concerne néanmoins l’obligation d’information qui pèse sur les acteurs en ligne à l’égard des internautes, en particulier dans la gestion des cookies. À la lecture de la loi de 1978, on en distingue plusieurs types.

S’agissant des cookies déposés par l’éditeur, s’impose en principe une obligation d’information sur les finalités et les moyens dont disposent les utilisateurs pour s’y opposer. Deux exceptions sont prévues, à savoir les cookies techniques, essentiels au fonctionnement du site, et ceux qui correspondent à la fourniture d’un service à la demande expresse de l’utilisateur (voir la page dédiée du site de la CNIL).

Justement. La juridiction a balayé d’un revers de la main les arguments de Challenges.fr : « contrairement à ce que soutient la société, le fait que certains "cookies" ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme "strictement nécessaires à la fourniture" du service de communication en ligne ». Avec en creux, une belle gifle assénée à « l’intérêt légitime » derrière lequel s’abritent tant de sites aujourd’hui, pour tenter d’évincer le recueil du consentement, version RGPD.

Le paramétrage du navigateur pour s'opposer au dépôt des cookies

La société affirmait s’être conformée à la mise en demeure dès juin 2016 en demandant aux internautes de paramétrer leur navigateur pour s’opposer au dépôt de ces fameux cookies (voir la page « donnée personnelle » capturée au 16 juin 2016 sur Internet Archive).

Un peu trop simple... Selon la CNIL, cette astuce n’est pas un mode valable d’opposition. Grille de lecture validée par le Conseil d’État, avec une série d’arguments en béton :

« Les éléments portés à la connaissance des utilisateurs du site" www.challenges.fr " ne leur permettaient ni de différencier clairement les catégories de " cookies " susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition »

Bref, une échappatoire éparpillée façon puzzle.

Cookies tiers et co-responsabilité 

Au passage, les juges ont remis les pendules à l’heure sur l’identité du responsable du traitement. Lorsqu’un site dépose un cookie, il est désigné responsable. S’il sous-traite cette tâche, « il en va de même ».

Et s’agissant des cookies tiers ? C’est un régime de coresponsabilité entre le tiers (une régie publicitaire par exemple) et le site qui a autorisé ce dépôt. Certes, la répartition des charges n’est pas équivalente. Si le tiers doit maitriser la finalité et la durée de conservation, le site doit à tout le moins s’assurer que les cookies émis par son intermédiaire respectent bien la réglementation en vigueur.

Ici, la société n’avait pas donné suite à la mise en demeure de la CNIL « de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois » pour ses cookies. Et pour ceux déposés par des tiers, déposés lors des visites, « il résulte de l'instruction que ses allégations selon lesquelles elle aurait effectué des démarches auprès de ses partenaires afin qu'ils respectent une durée de conservation ne sont étayées d'aucun élément ».

La requête de l’éditeur de Challenges.fr a donc été déboutée, et l’amende confirmée dans toute sa latitude.

30 commentaires
Avatar de Magyar Abonné
Avatar de MagyarMagyar- 12/06/18 à 13:23:15

Du coup j'espère que ça va faire jurisprudence et être appliqué par tous les sites, car j'en voit un paquet de site qui disent "aller configurer votre navigateur"

Édité par Magyar le 12/06/2018 à 13:23
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 12/06/18 à 13:28:02

Et du coup la quasi totalité des sites (le monde, le figaro, les échos, libération, 20minutes, etc.) sont concernés ? J'espère qu'on va les voir bientôt nettoyés de leurs hordes de cookies

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 12/06/18 à 13:56:02

Intéressante décision à double titre:

  • effectivement la défense qui consiste à renvoyer au navigateur était pas bête. Il faut donc déduire de cette décision que dès la conception de l'outil, celui-ci doit intrinsèquement permettre le respect de la réglementation sur les données par lui-même, ne pouvant pas renvoyer à un outil tiers pour par exemple faire jouer le droit d'opposition.

  • le Conseil d'Etat valide le fait que l'on ne peut pas présenter comme nécessairement légitime le tracking publicitaire car il finance le service. En creux, cela doit conduire à créer des offres payantes dénuées de tracking pub (reste à voir si celles-ci ne seront pas excessives pour contourner le problème).

    Par curiosité, Marc tu sais si l'information du visiteur se faisait via le traditionnel bandeau en bas de page ou dans un endroit spécifique genre les CGU ?

    Et question plus personnelle à la communauté, est-ce que l'opération de rattachement d'un site dans google webmaster (via une balise méta dans le header) impose également le dépôt d'un cookie aux fins de pub ou autre activité de tracking pub? J'arrive pas à le savoir ?

Édité par crocodudule le 12/06/2018 à 13:58
Avatar de sksbir INpactien
Avatar de sksbirsksbir- 12/06/18 à 13:56:06

vous n'avez pas remarqué du changement quand on surfe ?

Avec les sites qui tentent d'appliquer la nouvelle réglementation, on peut cliquer sur les options de maintien des cookies.
Quand c'est bien fait, on peut choisir de désactiver des grandes catégories, cookies de l'éditeur avec sous-rurbrique suivi/pub/ et j'ai oublié le reste, et idem avec les cookies tiers, avec en plus la possibilité de détailler par éditeur.
Quand c'est pas bien fait, on se retrouve tout de suite avec la liste détaillée et l'obligation de devoir cliquer sur 10000 boutons pour tout désactiver... ( me demande d'ailleurs si ya pas une entourloupe la-dessous, genre, c'est fait exprès pour décourager.... )

( enfin, c'est juste mon ressenti en tant que end-user :) )

Édité par sksbir le 12/06/2018 à 13:58
Avatar de athlon64 INpactien
Avatar de athlon64athlon64- 12/06/18 à 13:59:17

Le coté pas bien fait c'est aussi peut être pour pousser l'utilisateur a pas prendre le temps de tout décocher par flemme et au final il accepte

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 12/06/18 à 14:11:03

Cookie Autodelete c'est bien
:D

Avatar de stratic Abonné
Avatar de straticstratic- 12/06/18 à 14:13:59

Ils n'ont encore pas tout compris chez challenges.fr pour la conformité avec le RGPD. Non seulement ils utilisent les nouvelles astuces arnaques du moment qui consistent à:

  • Proposer en façade un bouton "j'accepte" qui dit "oui" à tout sans être informé sur rien et un autre qui permet d'accéder à la configuration fine.
  • Si par malheur on fait de vrais choix, avec des opt-out dedans, alors c'est mémorisé uniquement dans un cookie qui est expire dès le lendemain afin que les mêmes questions soient posées éternellement et que le lecteur pigeon finisse par cliquer sur le bouton "j'accepte" où il aura la paix sans avoir à faire de choix.

Bien sûr, ce genre de pratique n'est absolument pas conforme au RGPD. Le "j'accepte" n'est pas un choix éclairé, et l'opt-out est beaucoup, beaucoup, beaucoup plus difficile que l'opt-in. Ils sont loin d'être les seuls à mettre en oeuvre ces déviations autour du RGPD et il faut espérer qu'une sanction exemplaire viendra remettre tout le monde dans le droit chemin vis à vis de ces pratiques déviantes.

Mais, là où ils font très très fort chez Challenges c'est lors des choix proposés pour l'opt-in/ opt-out. Il n'y a aucune légende sur les boutons on/off permettant de donner son choix. On ne sait pas quelle position est "opt-out" et laquelle est "opt-in". Mais surtout la position "off" ( "opt-out" ) est représentée en bleu pétant comme si c'était actif et la position "off" ( "opt-in" ) est représentée en gris clair, comme si c'était inactif. Là c'est à mes yeux de la tromperie et des méthodes de truant.

Vu qu'ils ont déjà été sanctionnés pour ce genre de choses, qu'ils n'ont toujours rien compris et l'affichent clairement en faisant bien pire, je crois qu'il méritent maintenant un remontage de brettelles exemplaire, pour la conformité au RGPD.

Édité par stratic le 12/06/2018 à 14:15
Avatar de Edtech Abonné
Avatar de EdtechEdtech- 12/06/18 à 14:20:08

C'est encore loin d'être le cas pour tous, mais je suis tombé sur plusieurs sites qui proposent comme MSI :https://fr.msi.com/

Tout est décoché par défaut, et ça c'est une bonne chose. Par contre, de mémoire, si tu fais le bouton "Nous vous conseillons d'accepter" ça active tout et ferme le panneau... Bon, on peut le rouvrir et changer à tout moment, heureusement.

J'ai vu un autre site où c'était encore mieux fait que ça, car il y avait un bouton "Refuser".

Avatar de Stel INpactien
Avatar de StelStel- 12/06/18 à 14:34:57

Moi aussi je suis comme vous, j install adblock et je bloque tout, je fais la chasse a tous les cookies du web, je clique sur non partout je sais même pas pourquoi mais de toute façon c est le mieux a faire. J en suis fière et je le crie haut et fort et J espère que tout le monde va faire pareil afin que l ensemble du web devient payant.
Par exemple pour 10 sites web que j utilise ca ferait 3€ chacun * 10 = 30€ par mois. C est pas cher ca vaut le coup de se battre.

Avatar de sksbir INpactien
Avatar de sksbirsksbir- 12/06/18 à 14:36:20

ha, on en revient au dark patterns (https://www.youtube.com/watch?v=kxkrdLI6e6M ) que quelqu'un a déjà cité dans les commentaires d'un autre article mais que je ne retrouve pas ( heureusement que j'ai gardé le lien youtube ).

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Le statut des cookies publicitaires 
  • Le paramétrage du navigateur pour s'opposer au dépôt des cookies
  • Cookies tiers et co-responsabilité 
S'abonner à partir de 3,75 €