Le Conseil d’Etat, dans une décision relative aux cookies en date du 6 juin 2018, confirme la sanction pécuniaire de 25 000 euros prononcée par la CNIL en 2017 contre un éditeur de site internet.
Ce qu’il faut retenir
- Un cookie publicitaire, bien qu’il soit nécessaire à la viabilité économique du site internet, est toujours soumis au consentement préalable de l’internaute qui peut à tout moment refuser son dépôt ;
- Le paramétrage des navigateurs proposé aux internautes ne constitue pas un mode valable d’opposition au dépôt de cookies ;
- Les éditeurs qui autorisent le dépôt et l’utilisation de cookies par des tiers à l’occasion de la visite de leur site doivent être considérés comme responsables du traitement des cookies ;
- A ce titre, tout éditeur de site a l’obligation de s’assurer que ses partenaires tiers qui déposent des cookies via son site sont conformes à la réglementation applicable en matière de cookies et, le cas échéant, sont tenus d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.
Ce qu’il faut vérifier sur son site internet
Il appartient donc à tout éditeur de site internet de vérifier que son site prévoit :
- Un bandeau cookies ;
- L’absence de dépôt de cookies avant le recueil du consentement ;
- La possibilité de s’opposer au dépôt des cookies publicitaires ;
- L’information des personnes et notamment la liste des cookies, leur finalité, les moyens d’opposition ;
- Le respect des durées de conservation (13 mois maximum);
Cette affaire a été jugée sous l’empire de la Loi informatique et libertés telle qu’applicable au moment des faits, en 2016. Aujourd’hui, avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) et la réforme de la Loi informatique et libertés, un tel manquement pourrait être sanctionné d’une façon nettement plus importante, les sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires.
Cette décision est également intéressante car elle est à mettre en perspective avec le projet de règlement européen « vie privée et communications électroniques », dit « ePrivacy », actuellement en discussion à Bruxelles, qui prévoit justement la gestion des cookies et leur paramétrage par défaut via les interfaces de navigation.
Références :
- CNIL, délibération n° SAN-2017-007 du 18 mai 2017
- Conseil d’État, 10ème – 9ème ch. réunies, décision du 6 juin 2018
- CNIL – Cookies : comment mettre mon site web en conformité ?
- CNIL – Site web, cookies et autres traceurs
- Article 32 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
- Article 6 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
