Cookies & traceurs : La CNIL met en demeure une vingtaine d’organismes

Cookies & traceurs : La CNIL met en demeure une vingtaine d’organismes

Par Gérard Haas et Amanda Dubarry

La CNIL avait indiqué le 2 mars dernier que parmi ses thématiques prioritaires de contrôle, figurait le respect des règles applicables aux cookies et autres traceurs.

Chose promise, chose due… Ll’autorité administrative française a procédé dès le mois d’avril dernier – qui marquait la fin de la période de tolérance laissée aux responsables de traitement dans le cadre de leur mise en conformité avec les lignes directrices et la recommandation de la CNIL sur les cookies et autres traceurs –, à une série de contrôles en ligne.

 

 

La CNIL a annoncé le 25 mai 2021, 3 ans jour pour jour après l’entrée en application du RGPD, qu’une vingtaine d’entreprises, dont des GAFAM, avaient fait l’objet d’une procédure de mise en demeure pour non-respect de la règlementation liée aux cookies.

A ce titre, la commission a indiqué que les éditeurs ciblés ne permettaient pas aux internautes de refuser les cookies aussi facilement qu’ils pouvaient les accepter. A ce stade, la CNIL n’a pas dévoilé l’identité des contrevenants.

 

1. Rappel sur les mesures à mettre en place

 

Les bandeaux cookies doivent informer les internautes, préalablement à tout recueil du consentement, de la présence de cookies ou de traceurs. Ils doivent également préciser leurs finalités et l’identité du ou des responsable(s) de traitement. Rappelons que le consentement aux traceurs doit se faire de manière libre, éclairée, spécifique et univoque.

 

A ce titre, l’utilisateur doit pouvoir accepter par un acte positif clair le dépôt de cookies sur son navigateur. Les cases pré-cochées ne sont pas autorisées. La simple poursuite de sa navigation doit s’interpréter comme un refus à l’utilisation de traceurs.

 

La CNIL propose dans ses recommandations plusieurs exemples pratiques de recueil du consentement, tels que :

 

  • le fait d’intégrer dans le bandeau un bouton « tout refuser » et un autre « tout accepter » pour plus de compréhension,
  • ou encore d’explicitement proposer à l’internaute de pouvoir refuser les traceurs en fermant le bandeau.

 

2. La procédure de mise en demeure

 

Depuis 2014, la CNIL peut procéder à des contrôles à distance, de facto non contradictoires (art.44 de la loi Informatique et libertés) modifiée par la Loi Hamon du 17 mars 2014).

 

A l’issue du contrôle, le responsable de traitement concerné reçoit un procès-verbal lui informant qu’il a fait l’objet du contrôle et retraçant les actions menées par les agents. Le responsable de traitement peut naturellement faire part de ses observations a posteriori.

 

Dans le cas où la CNIL constate des écarts avec la règlementation et si la violation ne constitue pas une violation grave des droits et libertés des personnes physiques, le président de la commission pourra mettre en demeure l’organisme contrevenant à se mettre en conformité dans un délai fixe, conformément aux dispositions de l’article 45-I de la loi « Informatique et Libertés ». En cas d’urgence, ce délai peut être ramené à 5 jours.

 

Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.

Ce n’est que dans le cas contraire que la formation restreinte de la CNIL peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

  • Une sanction pécuniaire, pouvant s’élever jusqu’à 20 000 euros ou 4% du chiffre d’affaires global annuel.

  • Une injonction de cesser le traitement

 

Contrôle de la CNIL (2)

 

Toutefois, l’article 45-II de la loi Informatique et libertés précise que lorsque la mise en œuvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés, la formation restreinte peut, après une procédure contradictoire, engager une procédure d'urgence, pour :

 

  • Décider l'interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois

  • Prononcer un avertissement

  • Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois,

  • Informer le Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée,

L’article 45-III de la loi Informatique et libertés dispose qu’en cas d'atteinte grave et immédiate aux droits et libertés, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés. 

 

Le cabinet HAAS Avocats vous accompagne à tous les stades de votre mise en conformité, tant en amont dans une phase de justification des actions mises en place, qu’en aval, en cas de contentieux CNIL.

 

Pour être accompagné dans vos démarches ou pour tout renseignement complémentaire, n’hésitez pas à contacter le Cabinet HAAS Avocats ici.

 

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin