CE, 10ème - 9ème ch. réunies, 6 juin 2018, n°412589
L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies.
Ce qu’il faut retenir : L’éditeur d’un site internet qui utilise des cookies doit s’assurer d’informer de manière claire et transparente ses internautes des finalités des cookies déposés à l’occasion d’une visite sur son site et de définir et respecter une durée de conservation proportionnée à la finalité de ces cookies. Le Conseil d’Etat a confirmé la décision de la CNIL qui a prononcé une sanction à l’encontre de l’éditeur du site challenge.fr qui s’est contenté de présenter à ses internautes comment paramétrer leur navigateur pour refuser les cookies et qui n’a ni respecté une durée de conservation limitée ni vérifié que ses partenaires déposant des cookies tiers (sur lesquels il n’a aucune maitrise technique) respectent bien la réglementation en la matière.
Pour approfondir : Le Conseil d’Etat a confirmé, dans sa décision du 6 juin 2018, la position de la Cnil sur le fait que le paramétrage du navigateur n’est pas un mode valable d’opposition au dépôt de cookies.
Pour rappel, l’éditeur du site internet challenge.fr avait été condamné par la CNIL le 18 mai 2017 pour ne pas avoir respecté ses obligations d’information quant au dépôt de cookies sur le terminal de ses visiteurs et sur leur droit d’opposition alors qu’il avait été mis en demeure de le faire.
La CNIL avait alors prononcé une sanction pécuniaire de 25 000 € contre l’éditeur du site challenges.fr qui a décidé de faire un recours contre cette décision devant le Conseil d’Etat.
En matière de dépôt de cookies, la loi impose l’information des utilisateurs sur les finalités de ces cookies et sur les moyens de s’y opposer. Le recueil du consentement doit nécessairement avoir lieu avant leur dépôt, sauf si les cookies déposés sont nécessaires au fonctionnement du site ou qu’ils correspondent à la fourniture du service à la demande de l’utilisateur.
Si l’éditeur du site faisait valoir que ses cookies à finalités publicitaire et commerciale étaient nécessaires à la survie économique du site, le Conseil d’Etat a précisé que cette circonstance ne permettait pas de considérer que ces cookies relevaient de la catégorie de ceux strictement nécessaires à la fourniture du site et par conséquent exemptés de consentement.
Le Conseil d’Etat a par ailleurs précisé que l’information délivrée par le site n’était pas suffisamment transparente et ne permettait pas aux internautes de différencier clairement les catégories de cookies, ni de s’opposer à leur dépôt. Dès lors, le simple fait pour l’éditeur de proposer à ses internautes de paramétrer leur navigateur ne permet pas d’en conclure que ceux n’ayant pas refusé via leurs paramètres les cookies y avaient consenti.
Le Conseil d’Etat a clairement précisé que c’est à bon droit que « la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies ».
Dans sa délibération, la CNIL avait également relevé que l’éditeur avait manqué à son obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement et qu’il n’avait pas donné suite à sa mise en demeure de ne pas conserver les cookies au-delà de treize mois.
En ce qui concerne les « cookies » déposés par des tiers, la CNIL a également caractérisé les manquements de l’éditeur du fait qu’il n’avait apporté aucune justification qu’il aurait effectué des démarches auprès de ses partenaires afin qu’ils respectent eux aussi une durée de conservation adéquate et proportionnée.
Le Conseil d’Etat a confirmé la décision de la CNIL et a précisé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. »
En conséquence, il appartient à tout éditeur d’un site internet de s’assurer que les partenaires autorisés à déposer des cookies respectent la réglementation sous peine d’engager leur propre responsabilité.
2727 vues 
