Dans une délibération du 27 juillet 2021, la Commission Nationale Informatique et Liberté a condamné la SOCIETE DU FIGARO à une amende pour infraction à la législation sur les cookies publicitaires. Il en ressort que l’éditeur d’un site internet demeure entièrement responsable en cas de manquements par les partenaires publicitaires du site.
Le recueil obligatoire du consentement avant le dépôt des cookies publicitaires
Quelles sont les infractions relevées par la CNIL à l’encontre du FIGARO ?
Pour rappel, le recueil du consentement de l’utilisateur est obligatoire avant tout dépôt de cookies publicitaires sur son terminal, en application de la loi n° 78-17 du 6 janvier 1978 ainsi que du Règlement Général sur la Protection des Données.
L’article 1er de la directive 2008/63/CE du 20 juin 2008  définit l’équipement terminal comme
« tout Ă©quipement qui est connectĂ© directement ou indirectement Ă l’interface d’un rĂ©seau public de tĂ©lĂ©communications pour transmettre, traiter ou recevoir des informations ; dans les deux cas, direct ou indirect, la connexion peut ĂŞtre Ă©tablie par fil, fibre optique ou voie Ă©lectromagnĂ©tique ; une connexion est indirecte si un appareil est interposĂ© entre l’équipement terminal et l’interface du rĂ©seau public ».
Cette définition vient englober tous les dispositifs qui se connectent à un réseau de télécommunication ouvert au public.
Tout d’abord, la CNIL rappelle dans sa délibération que la SOCIÉTÉ DU FIGARO (qui édite le site www.lefigaro.fr), propose deux offres à ses internautes. Une offre gratuite mais soumise à davantage de contenus publicitaires. Une offre payante avec en contrepartie l’accès à tous les contenus pour un affichage publicitaire moindre.
La CNIL explique ensuite avoir été saisie d’une plainte d’une internaute s’étant aperçue que les cookies publicitaires se déposaient sur son terminal avant toute action de sa part, y compris un refus.
L’enquête de la CNIL a confirmé que des cookies à finalités publicitaires se déposaient bien dès que l’internaute se rend sur la page d’accueil du site, et sans possibilité de refuser ces cookies.
Cookies publicitaires et consentement préalable : quels sont les textes ?
Pour rappel, l’article 82 de la loi Informatique et Libertés (qui a transposé en droit français l’article 5 3 de la directive 2002/58/CE) dispose :
Tout abonnĂ© ou utilisateur d’un service de communications Ă©lectroniques doit ĂŞtre informĂ© de manière claire et complète, sauf s’il l’a Ă©tĂ© au prĂ©alable, par le responsable du traitement ou son reprĂ©sentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’Ă condition que l’abonnĂ© ou la personne utilisatrice ait exprimĂ©, après avoir reçu cette information, son consentement qui peut rĂ©sulter de paramètres appropriĂ©s de son dispositif de connexion ou de tout autre dispositif placĂ© sous son contrĂ´le.
Ces dispositions ne sont pas applicables si l’accès aux informations stockĂ©es dans l’Ă©quipement terminal de l’utilisateur ou l’inscription d’informations dans l’Ă©quipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nĂ©cessaire Ă la fourniture d’un service de communication en ligne Ă la demande expresse de l’utilisateur.
Ce droit au consentement préalable a été précisé dans ses modalités par le RGPD et notamment l’article 4.
Dans son considĂ©rant 42, qui donne un Ă©clairage sur l’exigence de libertĂ© du consentement posĂ©e par l’article 4, le RGPD prĂ©cise que « le consentement ne devrait pas ĂŞtre considĂ©rĂ© comme ayant Ă©tĂ© donnĂ© librement si la personne concernĂ©e ne dispose pas d’une vĂ©ritable libertĂ© de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de prĂ©judice ».
La CNIL n’hésite plus aujourd’hui à sanctionner les abus consistant pour certains sites à se contenter de mettre un bandeau cookie sans prévoir un véritable blocage des cookies publicitaires.
L’étendue de la responsabilité de l’éditeur du site internet du fait de cookies tiers
Passons rapidement sur l’argumentaire soulevé par la SOCIÉTÉ DU FIGARO et relatif aux vices de procédure ainsi qu’au manque de clarté des règles en matière de cookies.
Dans sa délibération, la CNIL rappelle que le caractère « tiers » des cookies publicitaires relevés n’exonère pas l’éditeur du site internet de toute responsabilité.
Au contraire, l’éditeur est partiellement responsable puisqu’il a la maîtrise des serveurs du site internet, et donc de l’écriture/réécriture d’informations y compris celles réalisées par ses partenaires commerciaux.
De fait, l’éditeur du site est co-responsable avec son partenaire dès lors qu’il ne veille pas au respect des règles en matière de dépôts de cookies publicitaires.
La CNIL rappelle cependant que cette obligation de vigilance n’est une obligations de moyens, sans commune mesure avec la responsabilité de plein droit qui pèse sur l’éditeur de contenus.
Ce n’est pas la première décision de la CNIL en ce sens. En 2018, le Conseil d’État avait validé les sanctions pécuniaires prononcées par la CNIL contre l’éditeur du site challenges.fr pour les mêmes raisons.
En conséquence, l’éditeur d’un site internet doit garantir à ses internautes que ses partenaires commerciaux respectent les règles en vigueur en matière de cookies publicitaires.
***
Vous êtes éditeur de site et souhaitez commander un audit RGPD de vos supports web ?  N’hésitez pas à contacter notre cabinet expert en droit des données personnelles.
