Dans une délibération du 27 juillet 2021, la Commission Nationale Informatique et Liberté a condamné la SOCIETE DU FIGARO à une amende pour infraction à la législation sur les cookies publicitaires. Il en ressort que l’éditeur d’un site internet demeure entièrement responsable en cas de manquements par les partenaires publicitaires du site.
Le recueil obligatoire du consentement avant le dépôt des cookies publicitaires
Quelles sont les infractions relevées par la CNIL à l’encontre du FIGARO ?
Pour rappel, le recueil du consentement de l’utilisateur est obligatoire avant tout dépôt de cookies publicitaires sur son terminal, en application de la loi n° 78-17 du 6 janvier 1978 ainsi que du Règlement Général sur la Protection des Données.
L’article 1er de la directive 2008/63/CE du 20 juin 2008  définit l’équipement terminal comme
« tout équipement qui est connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations ; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique ; une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public ».
Cette définition vient englober tous les dispositifs qui se connectent à un réseau de télécommunication ouvert au public.
Tout d’abord, la CNIL rappelle dans sa délibération que la SOCIÉTÉ DU FIGARO (qui édite le site www.lefigaro.fr), propose deux offres à ses internautes. Une offre gratuite mais soumise à davantage de contenus publicitaires. Une offre payante avec en contrepartie l’accès à tous les contenus pour un affichage publicitaire moindre.
La CNIL explique ensuite avoir été saisie d’une plainte d’une internaute s’étant aperçue que les cookies publicitaires se déposaient sur son terminal avant toute action de sa part, y compris un refus.
L’enquête de la CNIL a confirmé que des cookies à finalités publicitaires se déposaient bien dès que l’internaute se rend sur la page d’accueil du site, et sans possibilité de refuser ces cookies.
Cookies publicitaires et consentement préalable : quels sont les textes ?
Pour rappel, l’article 82 de la loi Informatique et Libertés (qui a transposé en droit français l’article 5 3 de la directive 2002/58/CE) dispose :
Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Ce droit au consentement préalable a été précisé dans ses modalités par le RGPD et notamment l’article 4.
Dans son considérant 42, qui donne un éclairage sur l’exigence de liberté du consentement posée par l’article 4, le RGPD précise que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
La CNIL n’hésite plus aujourd’hui à sanctionner les abus consistant pour certains sites à se contenter de mettre un bandeau cookie sans prévoir un véritable blocage des cookies publicitaires.
L’étendue de la responsabilité de l’éditeur du site internet du fait de cookies tiers
Passons rapidement sur l’argumentaire soulevé par la SOCIÉTÉ DU FIGARO et relatif aux vices de procédure ainsi qu’au manque de clarté des règles en matière de cookies.
Dans sa délibération, la CNIL rappelle que le caractère « tiers » des cookies publicitaires relevés n’exonère pas l’éditeur du site internet de toute responsabilité.
Au contraire, l’éditeur est partiellement responsable puisqu’il a la maîtrise des serveurs du site internet, et donc de l’écriture/réécriture d’informations y compris celles réalisées par ses partenaires commerciaux.
De fait, l’éditeur du site est co-responsable avec son partenaire dès lors qu’il ne veille pas au respect des règles en matière de dépôts de cookies publicitaires.
La CNIL rappelle cependant que cette obligation de vigilance n’est une obligations de moyens, sans commune mesure avec la responsabilité de plein droit qui pèse sur l’éditeur de contenus.
Ce n’est pas la première décision de la CNIL en ce sens. En 2018, le Conseil d’État avait validé les sanctions pécuniaires prononcées par la CNIL contre l’éditeur du site challenges.fr pour les mêmes raisons.
En conséquence, l’éditeur d’un site internet doit garantir à ses internautes que ses partenaires commerciaux respectent les règles en vigueur en matière de cookies publicitaires.
***
Vous êtes éditeur de site et souhaitez commander un audit RGPD de vos supports web ?  N’hésitez pas à contacter notre cabinet expert en droit des données personnelles.