I. Comportement sanctionné
En premier lieu, il s’agit de savoir quelle est l’infraction qui a été commise par les deux sites de commerce en ligne ayant conduit à la sanction. La résolution de l’Agence Espagnole de la Protection des Données (appelée plus loin « AEPD ») du 14 janvier 2014 résume de manière claire les règles à respecter dans ses Huitième et Dixième Faits Etablis et ses Septième et Huitième Fondements de Droit.
Le Huitième Fait Établi de ladite résolution de la AEPD dispose que « l’utilisation des services mentionnés », lesquels sont Google Analytics, Youtube, Zopim, TradeDoubler, Magento et WordPress, « est à l’origine du téléchargement de différents types de cookies qui ne sont pas exempts du devoir d’information préalable à l’utilisateur qui accède aux sites web de son propriétaire ».
De même, le Dixième Fait Établi ajoute que « les services mentionnés installent et utilisent non seulement leurs propres cookies mais aussi ceux d’autres sites, qui ne sont pas exempts du devoir d’information préalable au stockage dans les terminaux des utilisateurs ».
Ces comportements peuvent être sanctionnés, comme l’expliquent les Fondements du Droit susmentionnés, à cause de l’impossibilité pour les utilisateurs de manifester leur consentement ou leur désaccord quant à l’utilisation de ces dispositifs. Le prestataire de services a le devoir, en premier lieu, d’informer les utilisateurs, notamment concernant le type de cookies qui vont être installés et les finalités auxquelles répond l’installation.
Une fois rempli avec succès le devoir d’information, le prestataire de services doit en plus obtenir le consentement préalable et express de l’utilisateur, lequel ne sera acceptable que lorsque l’utilisateur aura été dument informé.
L’unique exception aux devoirs (i) d’information préalable et (ii) de consentement express après mise en garde de l’utilisateur concerne les cookies qui sont exonérés. Ces dispositifs se caractérisent par le fait de se limiter au respect de certains des critères suivants : (i) quand le cookie est utilisé uniquement pour effectuer la transmission d’une communication par un réseau de communications électroniques ou (ii) quand le cookie est strictement nécessaire pour la prestation d’un service de la société de laquelle provient l’information, expressément demandée par le destinataire.
II. Sanctions applicables
Les infractions et sanctions applicables aux cas présentés plus haut sont envisagées par le Titre VII de la loi 34/2002, du 11 juillet, des services de la société de laquelle provient l’information et du commerce électronique (articles 37 à 45).
Les infractions décrites plus haut sont considérées comme légères selon les dispositions de l’article 38.4 g) : « utiliser des dispositifs de stockage et de récupération des données lorsque ni l’information préalable ni le consentement du destinataire du service n’ont été fournis selon les termes prévus par l’article 22.2. ».
En vertu de l’article 39, une amende de jusqu’à 30.000 euros pourra être appliquée pour la commission d’infractions légères. De ce fait, même s’il est très peu probable qu’une sanction de cette somme soit mise en œuvre sans que ne soit applicable aucune atténuation, les sites de commerce en ligne doivent mettre leur site en conformité afin de respecter les obligations précédemment décrites, à condition que les cookies n’en soient pas exonérés.
