Cookies : anticipez et gérez vos risques dans vos contrats avec vos prestataires !
23 août 2021.
Saisie d’une plainte, la CNIL condamne sans mise en demeure un organe de presse pour des cookies publicitaires déposés par son prestataire.
Saisie d’une plainte, la CNIL a prononcé, le 27 juillet 2021, sans mise en demeure préalable, une sanction de 50 000 € à l’encontre de la Société du Figaro, exploitante du site internet lefigaro.fr. L’autorité reproche au média d’avoir laissé son prestataire déposer des cookies publicitaires sur les terminaux des utilisateurs du site internet « Le Figaro », sans consentement desdits utilisateurs.
La décision relève plusieurs méconnaissances des dispositions relatives aux opérations d’écriture et de lecture de cookies sur les terminaux, à savoir :
- Le « dépôt de cookies à finalité publicitaire par des partenaires sur le terminal de l’utilisateur lorsque celui-ci se rend sur le site lefigaro.fr, avant toute action de sa part et sans recueil de son consentement » et ;
- « L’impossibilité pour l’utilisateur de refuser de manière effective le dépôt des cookies à finalité publicitaire par des partenaires sur son terminal bien qu’il en ait exprimé le souhait »
La responsabilité de l’exploitant du site internet
Ces cookies publicitaires n’étaient pourtant pas directement déposés par la Société du Figaro mais par un de ces prestataires. Ainsi, l’exploitant du site se défendait de toute responsabilité du fait de son prestataire.
Dans sa décision, la CNIL estime que le un tiers qui dépose les cookies est tributaire de la navigation sur le site internet de la Société du Figaro et de l’inclusion d’un code permettant ou non de déposer les cookies. Dès lors, soit la société la Figaro en est à l’origine, soit elle ne contrôle pas l’inclusion de codes sur son propre site internet, mais dans l’un est l’autre des cas l’exploitant du site internet porte une responsabilité.
L’autorité rappelle en outre la jurisprudence du Conseil d’Etat[1] affirmant la responsabilité de l’exploitant s’agissant des faits des prestataires en matière de cookies.
Il s’agit alors pour la CNIL de vérifier si la Société Le Figaro a mis en place les moyens suffisants pour éviter le dépôt de cookies pour impliquer ou non la responsabilité de la Société Le Figaro.
Les obligations de l’exploitant du site internet
L’organe de presse arguait avoir rempli les obligations qui lui incombent en offrant aux utilisateurs une information préalable ainsi que des modalités de recueil du consentement conformes et, en ce qu’elle a prévu des moyens pour veiller au respect de la législation sur les cookies.
En effet, la Société du Figaro a mis en place une plateforme de gestion du consentement, l’émission d’un signal d’absence de consentement à destination du prestataire tant que le consentement n’a pas été donné et un outil de veille destiné à identifier les cookies déposés.
Là encore, la CNIL rejette les arguments de l’entreprise. En premier lieu, l’autorité estime que l’envoi d’un signal indiquant l’absence de consentement n’est pas suffisant.
Concernant l’outil de veille, la CNIL rappelle l’existence d’outils qui ne sont « pas hors de portée », plus performants et en libre accès, qui auraient été susceptibles d’assurer une meilleure conformité. Ceux-ci permettant notamment d’identifier les opérations d’écriture / lecture sans distinction de navigateurs.
La CNIL affirme également que le simple fait de contacter le tiers effectuant de telles opérations sans mettre en œuvre une solution pour les faire cesser sans délais n’est pas un moyen suffisant de la part de l’exploitant du site internet.
Elle précise que si l’entreprise fait le choix juridique et technique d’autoriser le dépôt de cookies par ses prestataires, celle-ci aurait pu faire le choix de davantage de contraintes juridiques et de maitrise technique afin de mieux contrôler les opérations d’écriture / lecture réalisées par l’intermédiaire de son site web.
L’autorité rappelle au passage que les opérations d’écriture de cookies, même sans lecture, suffisent à constituer un manquement en l’absence de consentement.
Ainsi, la CNIL conclue que la Société du Figaro n’a pas mis en œuvre les moyens suffisants pour éviter le dépôt de cookies par son prestataire sans consentement des utilisateurs, engageant ainsi sa responsabilité en qualité d’exploitant de son site internet.
L’autorité exige de la part des exploitants « une obligation de moyens qui implique qu’une mise en conformité puisse être atteinte par la mise en œuvre d’un ensemble d’aménagements nécessaires » qu’ils soient juridiques (clauses contraignantes pour le tiers) ou techniques (moyens d’interrompre instantanément le fonctionnement des codes permettant le dépôt).
Ce qu’il faut retenir :
- La CNIL réaffirme une tolérance zéro : absolument aucun cookie publicitaire ne doit être déposé sur le terminal d’un utilisateur sans son accord, en particulier dès son arrivée sur une page et avant toute action de sa part ;
- Outre l’information et le recueil du consentement des utilisateurs, l’exploitant d’un site internet est tenu par une obligation forte de contrôle mais également une obligation visant à faire cesser rapidement les opérations d’écriture / lecture de cookies non essentiels non conformes ;
- L’exploitant d’un site internet doit mettre en place les aménagements techniques et juridiques pour permettre d’éviter et dans tous les cas corriger sans délais les opérations non conformes.
- Pour cela : pensez au contrat ! C’est un outil d’efficience performant : il faudra y intégrer les clauses pertinentes en matière de responsabilité, évidemment, mais aussi prévoir une gouvernance adaptée et contraignante.
La CNIL a prononcé cette sanction, suite à une plainte, sans mise en demeure préalable ainsi que la loi[2] et la jurisprudence du Conseil d’Etat[3] le lui permettent.
Les exploitants de site internet doivent donc redoubler de vigilance dans le cadre de leur politique cookies, qu’il s’agisse des outils techniques mis en place comme de leurs relations juridiques avec leurs prestataires publicitaires.
Pensez à bien cadrer et négocier vos contrats avec vos prestataires !
Claudia Weber, avocat fondateur et Etienne Boutonnet, juriste | ITLAW Avocats
Besoin d’aide pour y voir plus clair dans votre politique cookies et vérifier si vous êtes conforme ?
Vous êtes éditeur d’un site internet ? Vous êtes ou faites appel à une régie publicitaire ? Vous souhaitez bénéficier d’un accompagnement pour cadrer et négocier votre contrat, notamment pour vous prémunir d’un risque d’une telle condamnation ?
ITLAW Avocats accompagne ses clients depuis 25 ans en matière de nouvelles technologies et de protection des données personnelles, en particulier dans la rédaction et la négociation des contrats IT, y compris en marketing digital, de projets informatiques complexes et de propriété intellectuelle et mobilise ses talents , ses expertises , ainsi que sa connaissance de l’écosystème IT, y compris des achats, pour vous accompagner dans la sécurisation et vos projets.
Nous avons également crée des formations en matière de marketing Digital destinés aux juristes et non juristes. Cette formation est réalisé en binôme : notre directrice marketing et communication et un avocat.
Nous sommes à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.
[1] CE, 6 juin 2018, Editions Croque Futur, n° 412589, Rec.
[2] Art. 20 de la loi “Informatique et Libertés” modifiée par la loi n° 2018-493 du 20 juin 2018
[3] CE, 9 octobre 2020, Société SERGIC, n° 433311
Nous contacter