Saisie d’une plainte, la CNIL condamne sans mise en demeure un organe de presse pour des cookies publicitaires déposés par son prestataire.

La décision relève plusieurs méconnaissances des dispositions relatives aux opérations d’écriture et de lecture de cookies sur les terminaux, à savoir :
Le « dépôt de cookies à finalité publicitaire par des partenaires sur le terminal de l’utilisateur lorsque celui-ci se rend sur le site lefigaro.fr, avant toute action de sa part et sans recueil de son consentement » et ; « L’impossibilité pour l’utilisateur de refuser de manière effective le dépôt des cookies à finalité publicitaire par des partenaires sur son terminal bien qu’il en ait exprimé le souhait ».

La responsabilité de l’exploitant du site internet.

Ces cookies publicitaires n’étaient pourtant pas directement déposés par la Société du Figaro mais par un de ces prestataires. Ainsi, l’exploitant du site se défendait de toute responsabilité du fait de son prestataire.

Dans sa décision, la CNIL estime que le un tiers qui dépose les cookies est tributaire de la navigation sur le site internet de la Société du Figaro et de l’inclusion d’un code permettant ou non de déposer lesdits cookies. Dès lors, soit la société la Figaro en est à l’origine, soit elle ne contrôle pas l’inclusion de codes sur son propre site internet, mais dans l’un est l’autre des cas l’exploitant du site internet porte une responsabilité.

L’autorité rappelle en outre la jurisprudence du Conseil d’Etat [1] affirmant la responsabilité de l’exploitant s’agissant des faits des prestataires en matière de cookies.

Il s’agit alors pour la CNIL de vérifier si la Société Le Figaro a mis en place les moyens suffisants pour éviter le dépôt de cookies pour impliquer ou non la responsabilité de la Société Le Figaro.

Les obligations de l’exploitant du site internet.

L’organe de presse arguait avoir rempli les obligations qui lui incombent en offrant aux utilisateurs une information préalable ainsi que des modalités de recueil du consentement conformes et, en ce qu’elle a prévu des moyens pour veiller au respect de la législation sur les cookies.

En effet, la Société du Figaro a mis en place une plateforme de gestion du consentement, l’émission d’un signal d’absence de consentement à destination du prestataire tant que le consentement n’a pas été donné et un outil de veille destiné à identifier les cookies déposés.

Là encore, la CNIL rejette les arguments de l’entreprise. En premier lieu, l’autorité estime que l’envoi d’un signal indiquant l’absence de consentement n’est pas suffisant.

Concernant l’outil de veille, la CNIL rappelle l’existence d’outils qui ne sont « pas hors de portée », plus performants et en libre accès, qui auraient été susceptibles d’assurer une meilleure conformité. Ceux-ci permettant notamment d’identifier les opérations d’écriture / lecture sans distinction de navigateurs.

La CNIL affirme également que le simple fait de contacter le tiers effectuant de telles opérations sans mettre en œuvre une solution pour les faire cesser sans délais n’est pas un moyen suffisant de la part de l’exploitant du site internet.

Elle précise que si l’entreprise fait le choix juridique et technique d’autoriser le dépôt de cookies par ses prestataires, celle-ci aurait pu faire le choix de davantage de contraintes juridiques et de maitrise technique afin de mieux contrôler les opérations d’écriture/ lecture réalisées par l’intermédiaire de son site web.

L’autorité rappelle au passage que les opérations d’écriture de cookies, même sans lecture, suffisent à constituer un manquement en l’absence de consentement.

Ainsi, la CNIL conclue que la Société du Figaro n’a pas mis en œuvre lles moyens suffisants pour éviter le dépôt de cookies par son prestataire sans consentement des utilisateurs, engageant ainsi sa responsabilité en qualité d’exploitant de son site internet.

L’autorité exige de la part des exploitants « une obligation de moyens qui implique qu’une mise en conformité puisse être atteinte par la mise en œuvre d’un ensemble d’aménagements nécessaires » qu’ils soient juridiques (clauses contraignantes pour le tiers) ou techniques (moyens d’interrompre instantanément le fonctionnement des codes permettant le dépôt).

Ce qu’il faut retenir :
 La CNIL réaffirme une tolérance zéro : absolument aucun cookie publicitaire ne doit être déposé sur le terminal d’un utilisateur sans son accord, en particulier dès son arrivée sur une page et avant toute action de sa part ;
 Outre l’information et le recueil du consentement des utilisateurs, l’exploitant d’un site internet est tenu par une obligation forte de contrôle mais également une obligation visant à faire cesser rapidement les opérations d’écriture / lecture de cookies non-essentiels non-conformes ;
 L’exploitant d’un site internet doit mettre en place les aménagements techniques et juridiques pour permettre d’éviter et dans tous les cas corriger sans délais les opérations non-conformes. Pour cela : pensez au contrat ! C’est un outil d’efficience performant : il faudra y intégrer les clauses pertinentes en matière de responsabilité, évidemment, mais aussi prévoir une gouvernance adaptée et contraignante.

La CNIL a prononcé cette sanction, suite à une plainte, sans mise en demeure préalable ainsi que la loi [2] et la jurisprudence du Conseil d’Etat [3] le lui permettent.

Les exploitants de site internet doivent donc redoubler de vigilance dans le cadre de leur politique cookies, qu’il s’agisse des outils techniques mis en place comme de leurs relations juridiques avec leurs prestataires publicitaires.
Pensez à bien cadrer et négocier vos contrats avec vos prestataires !

Claudia Weber, avocat fondateur et Etienne Boutonnet, juriste | ITLAW Avocats ITLAW Avocats - www.itlaw.fr