Filtering by Tag: Données à caractère personnel

Cookies : le Conseil d'Etat confirme l'obligation de recueil du consentement pour les cookies publicitaires.

Par un arrêt du 6 juin 2018, le Conseil d'Etat a confirmé la sanction de l'éditeur du site internet Challenges.fr pour non respect de la législation relative aux "cookies", ces petits fichiers qui sont déposés sur le dispositif de stockage d'un terminal informatique par les sites, dont certains peuvent avoir une finalité publicitaire.

Dans cette affaire, la CNIL avait reproché à la société Croque Futur de n'avoir pas suffisamment informé les internautes quant aux cookies utilisés sur le site Challenges.fr, ni avoir recueilli leur consentement en vue de la pose et du stockage de ces fichiers.

Le Conseil d'Etat a confirmé la sanction de la CNIL en rappelant les termes de la loi (en particulier la Loi Informatique & Libertés dans sa rédaction antérieure à la loi du 20 juin 2018 intégrant le RGPD) et en particulier l'obligation, qui pèse sur les éditeurs de sites internet, d'une "information claire et complète (...) sur les témoins de connexion ("cookies") qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site".

La juridiction administrative rappelle que l'information doit porter sur les finalités des cookies et sur les moyens de s'opposer à leur stockage. En outre, l'information n'est pas suffisante, puisque le consentement des internautes doit également être obtenu, à moins que le cookie n'ait qu'une finalité technique.

De manière intéressante, le Conseil d'Etat estime que le fonctionnement du site et son modèle économique (le financement par la publicité) ne justifient pas une dérogation à ces règles : "contrairement à ce que soutient la société, le fait que certains "cookies" ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme "strictement nécessaires à la fourniture" du service de communication en ligne".

Le Conseil d'Etat valide la doctrine de la CNIL en considérant que l'information doit porter cookie par cookie et que le paramétrage du navigateur (qui permet d'accepter ou refuser les cookies) n'est pas un élément suffisant pour matérialiser le consentement des internautes, car il ne permet qu'une réponse globale et non pas au cas par cas, pour chaque fichier ou chaque finalité déterminés.

Enfin, une durée supérieure à 13 mois pour la conservation des cookies a été jugée trop longue eu égard à la finalité du traitement.

Le futur règlement ePrivacy, qui doit compléter le RGPD, devrait prévoir de nouvelles règles concernant les cookies et l'on sait que les discussions achoppent notamment sur la question du paramétrage des navigateurs. Les éditeurs de ces logiciels devraient anticiper cette question et permettre par exemple de s'opposer aux cookies publicitaires - étant précisé que certains (dont Safari) permettent déjà de s'opposer au suivi des internautes qui quittent un site (fonction "Do Not Track").

Dans cette affaire, la société éditrice du site Challenges.fr a été condamnée à une amende de 25.000 euros.

Les sanctions de la CNIL ne doivent pas être excessives.

La Commission Nationale de l'Informatique et des Libertés ("CNIL") dispose d'un pouvoir de sanction qui sera d'ailleurs bientôt renforcé, après l'intégration en droit interne du nouveau règlement européen sur la protection des données personnelles.

La CNIL en fait largement usage : les contrôles, les mises en demeure, ainsi que les sanctions financières se multiplient. Mais cela ne doit pas relever d'un arbitraire : les pouvoirs de la CNIL sont contrôlés par le juge administratif, comme en témoigne un arrêt du Conseil d'Etat du 28 septembre 2016.

Les faits de l’espèce étaient les suivants : le directeur d’un théâtre national rennais avait envoyé un e-mail aux abonnés de la newsletter de ce théâtre, non pour les tenir informés de l’actualité culturelle du lieu mais pour valoriser le bilan de la politique culturelle du maire de la ville. Certains destinataires de l’e-mail s’en étaient plaints et le théâtre avait reçu une sanction de la CNIL par une délibération du 12 février 2015, en raison du détournement de la finalité du traitement de données. Un traitement déclaré à des fins de prospection commerciale ne peut pas, en effet, être utilisé à des fins politiques.

Cette sanction, assortie d'une mesure de publication non anonyme sur le site de la CNIL et le site Legifrance, a été contestée par le théâtre devant la juridiction administrative. Sur le fond, la mesure a été confirmée par le Conseil d’Etat, de même que la sanction accessoire consistant à publier la décision sur internet.

En revanche, le Conseil d’Etat a reproché à la CNIL de n’avoir pas fixé de limite temporelle à cette publication. En cela, selon le juge administratif, la CNIL a manqué au principe de proportionnalité.

Ce principe de proportionnalité est énoncé par l’article 8 de la Déclaration des droits de l’homme et du citoyen de 1789, selon lequel « la loi ne doit établir que des peines strictement et évidemment nécessaires ». Ce principe s’applique également aux décisions de la CNIL : selon l’arrêt, « lorsque la CNIL prononce une sanction complémentaire de publication de sa décision de sanction, celle-là se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité ». Le juge contrôle donc que les peines prononcées (quelle qu’en soit la nature, pénale ou administrative) soient équilibrées au regard de la faute. 

C’est précisément ce qui a été reproché à la CNIL dans l’arrêt du 28 septembre 2016 : en ne fixant pas de limite temporelle à la publication de la sanction, laquelle n'était pas anonyme mais laissait apparaître le nom du théâtre, la CNIL a prononcé une sanction « excessive ». Le juge a ainsi ordonné à la CNIL de fixer une durée de publication de la condamnation. L'Etat a également été condamné à payer 2.000 euros de frais de procédure au profit du théâtre.