webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Transparence et vigilance en matière de cookies sur les sites internet

CE, 10ème - 9ème ch. réunies, 6 juin 2018, n°412589

L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies.



Ce qu’il faut retenir : L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies. Le Conseil d’Etat a confirmé la décision de la CNIL qui a prononcé une sanction à l’encontre de l’éditeur du site challenge.fr qui s’est contenté de présenter à ses internautes comment paramétrer leur navigateur pour refuser les cookies et qui n’a ni respecté une durée de conservation limitée ni vérifié que ses partenaires déposant des cookies tiers (sur lesquels il n’a aucune maitrise technique) respectent bien la réglementation en la matière.

Pour approfondir : Le Conseil d’Etat a confirmé, dans sa décision du 6 juin 2018, la position de la Cnil sur le fait que le paramétrage du navigateur n’est pas un mode valable d’opposition au dépôt de cookies.

Pour rappel, l’éditeur du site internet challenge.fr avait été condamné par la CNIL le 18 mai 2017 pour ne pas avoir respecté ses obligations d’information quant au dépôt de cookies sur le terminal de ses visiteurs et sur leur droit d’opposition alors qu’il avait été mis en demeure de le faire.

La CNIL avait alors prononcé une sanction pécuniaire de 25 000 € contre l’éditeur du site challenges.fr qui a décidé de faire un recours contre cette décision devant le Conseil d’Etat.

En matière de dépôt de cookies, la loi impose l’information des utilisateurs sur les finalités de ces cookies et sur les moyens de s’y opposer. Le recueil du consentement doit nécessairement avoir lieu avant leur dépôt, sauf si les cookies déposés sont nécessaires au fonctionnement du site ou qu’ils correspondent à la fourniture du service à la demande de l’utilisateur.

Si l’éditeur du site faisait valoir que ses cookies à finalités publicitaire et commerciale étaient nécessaires à la survie économique du site, le Conseil d’Etat a précisé que cette circonstance ne permettait pas de considérer que ces cookies relevaient de la catégorie de ceux strictement nécessaires à la fourniture du site et par conséquent exemptés de consentement.

Le Conseil d’Etat a par ailleurs précisé que l’information délivrée par le site n’était pas suffisamment transparente et ne permettait pas aux internautes de différencier clairement les catégories de cookies, ni de s’opposer à leur dépôt. Dès lors, le simple fait pour l’éditeur de proposer à ses internautes de paramétrer leur navigateur ne permet pas d’en conclure que ceux n’ayant pas refusé via leurs paramètres les cookies y avaient consenti.

Le Conseil d’Etat a clairement précisé que c’est à bon droit que « la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies ».

Dans sa délibération, la CNIL avait également relevé que l’éditeur avait manqué à son obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement et qu’il n’avait pas donné suite à sa mise en demeure de ne pas conserver les cookies au-delà de treize mois.

En ce qui concerne les « cookies » déposés par des tiers, la CNIL a également caractérisé les manquements de l’éditeur du fait qu’il n’avait apporté aucune justification qu’il aurait effectué des démarches auprès de ses partenaires afin qu’ils respectent eux aussi une durée de conservation adéquate et proportionnée.

Le Conseil d’Etat a confirmé la décision de la CNIL et a précisé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels   « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le  « cookie », notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. » 

En conséquence, il appartient à tout éditeur d’un site internet de s’assurer que les partenaires autorisés à déposer des cookies respectent la réglementation sous peine d’engager leur propre responsabilité.

A rapprocher : Nouvel article 32 de la loi informatique et liberté (modifié par la loi n°2018-493 du 20 juin 2018)

VOIR AUSSI

La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact

Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

- Vu : 879

La CNIL a fait la liste des traitements de données personnelles qui seront soumis à une analyse d’impact préalable en respect des dispositions du RGPD.

> Lire la suite

Du nouveau pour l'action de groupe en matière de données à caractère personnel

Loi n°2016–1547 du 18 novembre 2016

- Vu : 476

La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 4119
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 3526
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 3256
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 2038
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©