La responsabilité de l’éditeur d’un site web utilisant des cookies tiers

La responsabilité de l’éditeur d’un site web utilisant des cookies tiers

Par Gérard Haas, Anne Charlotte Andrieux et Vickie Le Bert

La CNIL, qui avait laissé jusqu’à fin mars 2021 aux professionnels pour mettre leurs sites web et leurs applications en conformité avec ses lignes directrices et sa recommandation du 17 septembre 2020, a procédé depuis à l’envoi de nombreuses mises en demeure pour manquements à la règlementation applicable en matière de cookies et autres traceurs.

Cette politique de contrôle de la CNIL, qui s’inscrit dans la durée, a pour objectif d’assurer l’effectivité de l’ensemble des mesures ayant pu être prises depuis l’entrée en vigueur du RGPD. La CNIL a en ce sens indiqué qu’elle poursuivrait cette vague de contrôles à la rentrée 2021.

Dans le cadre de cette stratégie globale de mise en conformité, initiée notamment auprès d’éditeurs de sites internet à forte fréquentation, la formation restreinte de la CNIL a prononcé le 27 juillet dernier une sanction de 50 000 euros d’amende[1] à l’encontre de la Société du Figaro en raison du dépôt de cookies publicitaires à partir du site qu’elle exploite, sans recueil du consentement préalable des internautes ou alors même que ces derniers avaient formulé leur refus.

La CNIL profite de cette décision de sanction pour rappeler la teneur de la responsabilité et des obligations de l’éditeur de site internet ayant recours à des cookies tiers.

Les faits : une plainte déposée contre Le Figaro

La Société du Figaro, filiale du groupe Figaro spécialisée dans l’édition de journaux en versions papier et numérique, exploite le site internet lefigaro.fr, par le biais duquel elle commercialise notamment auprès d’annonceurs des espaces publicitaires.

En août 2018, une internaute du site lefigaro.fr a déposé plainte auprès de la CNIL après avoir constaté, dès son arrivée sur le site, le dépôt de traceurs sur son terminal, et ce avant toute action de sa part et sans recueil de son consentement.

Les manquements constatés 

Dans le cadre de l’instruction de cette plainte, la CNIL a mené sur près de deux ans toute une série de contrôles aux fins d’apprécier la conformité du site lefigaro.fr avec les dispositions de la loi Informatique et Libertés et du RGPD en matière de cookies et autres traceurs.

Ces contrôles ont permis de constater que dès qu’un utilisateur accédait au site lefigaro.net, des cookies tiers étaient automatiquement déposés sur son terminal, sans aucune action de la part de l’internaute ou malgré son refus.

Or, aux termes de l’article 82 de la loi Informatique et Libertés, tout stockage d’informations, cookies ou traceurs, sur le terminal d’un utilisateur d’un service de communications électroniques doit faire l’objet d’un consentement préalable de ce dernier. Exception faite des cookies purement techniques, il appartient à l’éditeur du site de mettre en place un procédé de recueil du consentement de l’internaute.

Ce consentement préalable de l’utilisateur, qui doit être libre, spécifique, éclairé et univoque, doit également pouvoir être retiré à tout moment par l’internaute, et aussi simplement qu’il a été accordé.

La CNIL a sur ce point rappelé dans ses dernières lignes directrices le principe selon lequel la simple poursuite de la navigation sur le site internet par l’internaute ne vaut pas consentement.

Si les cookies nécessaires à la navigation sont exemptés de consentement, tel n’est pas le cas pour les cookies publicitaires dont il était question dans l’affaire en cause. La rapporteuse de la CNIL a ainsi relevé deux séries de négligences importantes en matière de cookies de la part de la Société du Figaro:

  • Le dépôt de cookies à finalité publicitaire par des partenaires sur le terminal de l’utilisateur lorsque celui-ci se rend sur le site lefigaro.fr, avant toute action de sa part et sans recueil de son consentement
  • L’impossibilité pour l’utilisateur de refuser de manière effective le dépôt des cookies à finalité publicitaire par des partenaires de l’éditeur du site, alors même qu’il en a exprimé le souhait

Statut et obligations de l’éditeur de site internet

La Société du Figaro a contesté les manquements qui lui étaient reprochés, avançant le fait qu’elle n’était pas à l’origine du dépôt des traceurs litigieux et que sa responsabilité ne pouvait donc pas être retenue.

La CNIL, se basant sur une décision « Editions Croque Futur » du Conseil d’Etat[2], rappelle cependant à l’appui de sa décision que l’éditeur d’un site internet déposant des « cookies tiers » a pour obligation :

  • De s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des traceurs non-respectueux de la règlementation applicable ;
  • D’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

La formation restreinte, retenant que l’éditeur d’un site déposant des « cookies tiers » doit être considéré comme responsable de traitement, ajoute que « lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies, chacun d'entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l'article 82 de la loi Informatique et Libertés ».

Aux termes de la délibération n° 2013-378 du 5 décembre 2013 de la CNIL, toujours en vigueur sur ce point, les éditeurs de sites internet ou d’applications mobiles et leurs partenaires (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d'audience) sont justement concernés par cette hypothèse de coresponsabilité.

Les obligations de l’éditeur d’un site internet utilisant des « cookies tiers »

Reconnaissant que la société éditant un site internet et permettant l’utilisation de cookies tiers provenant de partenaires n’est pas affranchie de sa propre responsabilité, dans la mesure où elle conserve la maîtrise de son site et de ses serveurs, la CNIL vient préciser la teneur de cette responsabilité.

La formation restreinte relève ainsi, dans sa délibération du 27 juillet 2021, que l’obligation de l’éditeur d’un site internet de s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des cookies en violation de la règlementation applicable en France, est une obligation de moyens impliquant de sa part qu’il mette en œuvre sur son site un ensemble d’aménagements adaptés.

***

Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner sur votre mise en conformité avec le RGPD, notamment sur les questions relatives aux cookies. Pour nous contacter, cliquez-ici.

 

[1] Délibération SAN-2021-013 du 27 juillet 2021

[2] CE, 6 juin 2018, n° 412589

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin