Le 27 juillet 2021 la CNIL a sanctionné la Société du Figaro à hauteur de 50 000 euros pour avoir déposé des cookies publicitaires à partir de son site <lefigaro.fr> sans recueil du consentement préalable des internautes, et ordonné la publication de cette délibération. Les manquements invoqués concernaient à la fois le dépôt de cookies à finalité publicitaire par des partenaires de l’éditeur (i) avant toute action de la part de l’internaute et sans son consentement préalable, et à la fois (ii) après expression du refus de tout dépôt par l’internaute.
Si cette nouvelle sanction s’inscrit dans la volonté de la CNIL de s’assurer du respect de la réglementation applicable en matière de cookies et autres traceurs, illustrée notamment par ses annonces en matière de thématiques prioritaires de contrôles et par plusieurs actualités récentes, elle doit être distinguée de la vague de mises en demeure adressées par la CNIL ces derniers mois.
En effet, en mai et juillet 2021 la CNIL a adressé respectivement une vingtaine puis une quarantaine de mises en demeure à diverses organisations publiques et privées pour non-respect de ses lignes directrices[1] et plus particulièrement, pour non-respect de la règle selon laquelle il doit être aussi simple pour un utilisateur d’accepter que de refuser des cookies.
Bien que la décision à l’encontre du Figaro illustre la détermination de la CNIL à sanctionner toute non-conformité en matière de cookies et autres traceurs, elle intervient dans le cadre d’une affaire initiée à la suite d’une plainte en 2018 et de contrôles s’étant tenus entre 2020 et 2021. La sanction prononcée se fonde ainsi sur des textes et décisions qui préexistaient à la publication de ses dernières lignes directrices et recommandation en la matière.
La CNIL s’attache fortement à rappeler que les dispositions sur lesquelles elles s’appuient dans le cas d’espèce ne sont pas nouvelles et indique que (i) le contenu des dispositions de l’article 82 de la Loi Informatique et Libertés « est inchangé depuis 10 ans »[2], (ii) que l’existence et le périmètre d’une responsabilité de l’éditeur d’un site en la matière ont déjà été précisés par une décision du Conseil d’Etat en date du 6 juin 2018[3], et que (iii) elle a déjà adopté plusieurs décisions de sanction sur la base de ces dispositions[4].
La CNIL précise d’ailleurs expressément que les nouvelles évolutions de ses recommandations en la matière « n’ont pas d’incidence dans le cas d’espèce [puisqu’il] a continuellement été considéré, comme l’indique [les anciennes recommandations de 2013 de la CNIL en matière de cookies , que[5]] lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (…) chacun d’entre eux doit être considéré comme coresponsable des obligations découlant des disposition de (…) [l’actuel article 82 de la Loi Informatique et Libertés]. Cette délibération précise qu’il en est ainsi des éditeurs de sites internet (…) et de leurs partenaires (…) dans la mesure où les éditeurs constituent souvent l’unique point de contact des internautes (…) ».[6]
Cette décision permet d’assoir davantage la position de la CNIL en la matière et les fondements déjà bien établis sur lesquels elle se repose pour sanctionner les entreprises non-conformes, à savoir :
- L’éditeur d’un site web a une part de responsabilité (obligation de moyens) dans le respect des obligations de l’article 82 de la Loi Informatique et Libertés dans le cas de dépôt de cookies tiers par ses partenaires commerciaux[7];
- Dès lors que c’est l’éditeur qui « a le contrôle sur son site» en ce qu’il « choisit ses partenaires et les autorise à la fois juridiquement et par le codage d’information du site, à déposer des cookies sur les terminaux des utilisateurs, (…) il lui appartient de mettre en place des moyens en phase avec le choix qu’[il] a opéré, tant dès l’arrivée de l’utilisateur sur le site qu’après avoir exprimé son refus »[8], quel que soit le navigateur utilisé par les internautes ;
- Parmi les obligations incombant à l’éditeur figure celle de « s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la réglementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à ces manquements »[9];
La Société du Figaro avait fait valoir avoir mis en place de nombreux moyens pour lutter contre ce type de manquement et qu’elle avait ainsi amplement satisfait à ses propres obligations, en particulier :
- fourniture d’une information préalable aux utilisateurs du site web par l’éditeur,
- mise en place d’une plateforme de gestion du consentement ;
- mise en place d’un outil de veille destiné à identifier les cookies déposés par des tiers en violation de la réglementation pour ensuite effectuer les démarches nécessaires auprès de ces derniers ;
- contact par courriels de la société tierce déposant des cookies en violation de la réglementation applicable ;
- l’émission d’un signal de refus auprès des tiers qui procèdent aux dépôts de cookies dans le terminal des utilisateurs lors de leur navigation sur le site.
Si la CNIL semble avoir pour partie pris en considération ces éléments dans la détermination du montant de la sanction, elle a néanmoins considéré que ces moyens étaient manifestement insuffisants puisqu’ils ne permettaient pas de faire cesser les manquements. Bien que la CNIL relève que les sociétés tierces ont été contactées, elle souligne que ces contacts n’ont pas été suivis d’une prise de mesure rapide pour mettre fin au dépôt récurrent des cookies.
La CNIL considère ainsi qu’en cas de constat par un éditeur que l’un de ses partenaires continue d’effectuer des dépôts de cookies tiers en violation de la règlementation applicable, il lui appartient d’ « envisager les différents moyens juridiques à sa disposition qui sont nécessaires pour faire cesser ces manquements en prévoyant par exemple contractuellement la possibilité d’engager des actions contre ses partenaires et en l’activant (par exemple une action en responsabilité ou la suspension temporaire du contrat jusqu’au respect de ses engagements par le partenaire), et, en dernier recours, en appréciant l’opportunité de mettre un terme aux relations commerciales[10] ».
Le choix des partenaires et les conditions contractuelles en place avec ces derniers (que ce soit en terme de suspension ou résiliation mais aussi et surtout en termes de garantie et de partage de responsabilité) deviennent ainsi cruciaux, car la CNIL demande bien in fine à l’éditeur du site de parvenir à la cessation du manquement, par quelque moyen que ce soit, y inclus par la rupture des relations, faute de quoi l’éditeur sera tenu pour responsable.
Nadège Martin, Associé et Barbara Ghebali, Collaborateur, Norton Rose Fulbright LLP
_____________________
[1] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookieset autres traceurs » et Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019
[2] Délibération SAN-2021-013 du 27 juillet 2021, concernant la Société du Figaro, §§33 et 52
[3] CE, 6 juin 2018, Editions Croque Futur, n°412589, Rec.
[4] Délibération SAN-2021-013 du 27 juillet 2021, concernant la Société du Figaro, §§35 et 52
[5] Délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs, abrogée
[6] Délibération SAN-2021-013 du 27 juillet 2021, concernant la Société du Figaro, §53
[7] « La Société du Figaro, en tant qu’elle édite un site web a une part de responsabilité dans le respect des obligations de l’article 82 de la Loi Informatique et Libertés pour les opérations de lecture et/ou d’écriture d’informations effectuées dans le terminal des utilisateurs lors de la visite de son site web, y compris celles réalisées par des tiers qui sont ses partenaires commerciaux ». Ibid, §49
[8] Délibération SAN-2021-013 du 27 juillet 2021, concernant la Société du Figaro, §100
[9] Délibération SAN-2021-013 du 27 juillet 2021, concernant la Société du Figaro, §52. « Le Conseil d’État a en particulier jugé que "les éditeurs de site qui autorisent le dépôt et l’utilisation de tels "cookies" par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le "cookie" , notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des "cookies" qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements" (soulignement ajouté).
[10] Ibid, §102