Le Figaro invité par la CNIL à revoir sa politique de cookies

Cookies E012S06 37
Accès libre
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Loi
Marc Rees

Saisie par un particulier, la CNIL a rappelé à nos confrères du Figaro les règles à respecter en matière de cookies. L’internaute se plaignait des modalités de dépôt de ces traceurs. Le site a été invité à « prendre les mesures et modifications qui s’imposent », dixit l’autorité de contrôle.

Le 11 août 2018, une internaute avait saisi la CNIL pour lui signaler l’installation de cookies dès son arrivée sur le Figaro.fr. Dans un courrier daté du 30 septembre dernier, la commission lui indique avoir rappelé au délégué à la protection des données de la Société du Figaro « que les modalités de dépôt des cookies doivent être conformes aux dispositions de l’article 82 de la loi [informatique et libertés] ».

De fait, avant comme après l’entrée en vigueur du règlement général sur la protection des données personnelles, on ne peut déposer de cookies sur un terminal sans le consentement de l’utilisateur, sauf exception (les « cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur »).

Le consentement doit être, selon la formule consacrée par le RGPD, « libre, éclairé, spécifique et univoque ». Les sites utilisant ce procédé doivent donc non seulement glaner le feu vert de l’internaute, mais impérativement l‘informer des finalités de chaque cookie et des moyens pour revenir sur leur consentement. Par ailleurs, le lecteur doit toujours pouvoir accéder au site même s’il refuse ces traceurs « non strictement nécessaires à l’utilisation du service ».

Le Figaro a été invité par la commission à « prendre les mesures et modifications qui s’imposent », aussi bien sur le terrain des traceurs que du transfert des données personnelles dans des pays tiers à l’Union européenne, un autre point mis à l’index.

figaro cnilfigaro cnil

Une Consent Management Plateform pour gérer les cookies

« Nous avons effectivement reçu un courrier de la CNIL. Nous y avons répondu. C’est une plainte ancienne, d’à peu près un an. Nous avons mis en place une Consent Management Plateform (CMP) pour gérer le consentement. Ce chantier RGPD a été mis en œuvre bien en amont de la réglementation. Je laisse la CNIL gérer la plainte », nous indique Bénédicte Wautelet, déléguée à la protection des données personnelles au sein du groupe Le Figaro. 

« Nous ne comprenons pas quel est le point soulevé par l’internaute concernant les transferts hors UE qui sont autorisés par la réglementation européenne, sous réserve d’être encadrés, ce que nous faisons » ajoute l'intéressée. 

Sur les cookies (dont on pourra voir la liste via cet outil), la DPO nous assure que « nous gérons cette question conformément à la réglementation ». Plus précisément, « nous sommes dans le moratoire de la CNIL, qui a présenté ses lignes directrices le 4 juillet dernier ».  

Des lignes directrices, attaquées de toutes parts

Le 4 juillet 2019, au fil de « lignes directrices », la commission a estimé que la poursuite de la navigation n’était plus un mode valable d’expression du consentement, contrairement à la doctrine antérieure au 25 mai 2018. Cette position a été toutefois attaquée devant le Conseil d’État par la Quadrature du Net et Caliopen.

Les deux associations reprochent à l’autorité non le sens de cette décision, mais d’avoir laissé une période transitoire d’un an aux sites avant possibles sanctions. En attendant, la poursuite de la navigation vaudra encore et toujours consentement, à rebours du règlement européen. Comme exposé dans notre compte rendu d’audience, le rapporteur public a suggéré à la haute juridiction de rejeter cette requête, faute d’erreur « manifeste d’appréciation » (soit une erreur grossière dans l’appréciation des faits qui ont motivé la décision).

Elles ont tout autant été contestées par neuf associations professionnelles, dont le Geste ou la Fevad.  « Ces lignes directrices rompent aujourd’hui les équilibres indispensables à trouver et s’écartent des principes et des mécanismes du RGPD, sans pour autant apporter une plus grande protection de la vie privée et des libertés individuelles » estiment les requérants.

La Cour de justice de l’Union européenne s’intéresse également au sujet. Dans un arrêt du 1 er octobre, rendu au lendemain de l’émission du courrier, les juges ont estimé qu’on ne pouvait déduire de consentement derrière une case cochée par défaut. Mieux, dans tous les cas où un traceur est implanté sur un terminal ou lu depuis l’extérieur, elle exige l’accord de l’utilisateur. 


chargement
Chargement des commentaires...