En 2017, la CNIL à l’issue d’un contrôle avait prononcé une sanction pécuniaire à l’encontre de l’éditeur du site challenges.fr, pour cause de non-respect de ses obligations d’information sur le dépôt de « cookies » sur le terminal des internautes visiteurs, ainsi que sur leur droit d’opposition.
Par une décision du 6 juin 2018, le Conseil d’Etat a validé cette sanction, constatant que malgré une mise en demeure en bonne et due forme de la CNIL, l’éditeur du site ne s’était jamais conformé à ses obligations d’information et de recueil du consentement de l’internaute.
Le Conseil a notamment rejeté l’argumentation de l’éditeur du site concernant la finalité de ses cookies. Il est vrai, selon le II de l’article 32 de la Loi Informatiques et libertés de 1978, que l’éditeur d’un site internet doit obligatoirement recueillir le consentement de ses visiteurs avant le dépôt des cookies, sauf si le cookie en question « est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ». En revanche, contrairement à ce que soutenait l’éditeur:
- D’une part, « le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de « cookies », d’où la CNIL en a valablement déduit que l’éditeur « n’avait pas remédié au manquement à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition »
- D’autre part, « le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme strictement nécessaires à la fourniture du service de communication en ligne »
Le Conseil en a profité pour donner quelques précisions concernant la question de la responsabilité des éditeurs de sites. Lorsque les « cookies » sont déposés directement par l’éditeur du site ou par son sous-traitant pour son compte, c’est l’éditeur qui est considéré comme responsable de traitement. Inversement, lorsque ce sont d’autres tiers qui déposent des « cookies » à l’occasion de la visite du site d’un éditeur, ce sont eux qui doivent être considérés comme responsables de traitement », et non l’éditeur puisque ce ne sont pas « ses » cookies.
En revanche selon le Conseil, « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ». Autrement dit, il incombe à l’éditeur d’un site de « s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des « cookies » qui ne respectent pas la règlementation applicable en France ». Il lui incombe également « d’effectuer toute démarche utile auprès d’eux pour mettre fin à ces manquements ».
Julien Andrieu pour ATurquoise
Source : http://www.conseil-etat.fr/fr/arianeweb/CE/decision/2018-06-06/412589
This post is also available in: Anglais
Comments are closed.