Enews Legipresse

Recevez la newsletter et entrez dans le Club Légipresse
Valider
Valider l'adresse e-mail pour inscription à l'E-news

Le club Légipresse

Les 2 derniers inscrits
Cécile DESCHANEL

AVOCAT
CECILE DESCHANEL AVOCATE
Victor Cabras

Juriste

Vidéos

02/09/2016
Fabrice Arfi, Médiapart

Forum 2015 - Informer n'est pas un délit

Toutes les vidéos
Accueil > Communications électroniques > La gestion des cookies d’un site internet : quels « Challenges » ? - Communications électroniques

Informatique et libertes
/ Cours et tribunaux


22/11/2018


La gestion des cookies d’un site internet : quels « Challenges » ?



Le Conseil d’État se prononce pour la première fois sur le régime juridique des cookies sur internet. Il confirme une délibération de la CNIL, rendue contre l’éditeur du site « Challenges », sur la répartition des responsabilités entre l’éditeur du site et le tiers fournisseur de cookies ainsi que sur l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de cookies, tout en ne semblant pas retenir exactement les mêmes qualifications juridiques que celles de la CNIL.

Conseil d'Etat, (10e et 9e ch. réunies), 6 juin 2018, Editions Croque Futur
 

De nombreux « challenges ». « Questions redoutables », « sujets d’interrogations », « zones d’ombre », « l’équilibre à trouver […] pas simple à définir », « questions […] telluriques » : tels sont les termes qui émaillent les conclusions du rapporteur public(1)à propos du régime juridique applicable aux cookies, dans l’affaire Éditions Croque Futur ayant donné lieu à l’arrêt du Conseil d’État du 6 juin 2018(2), à la suite d’un contrôle de la CNIL sur le site « Challenges ». Ces petits fichiers déposés sur les équipements des internautes (ordinateur, smartphone, tablette, etc.) et pouvant être lus lors de la visite d’un site internet, peuvent en effet être utilisés notamment pour suivre la navigation des internautes, collecter des informations à leur sujet et les associer à des « profils ». De tels usages, très utiles pour les éditeurs de sites internet dont les revenus sont liés à la publicité en ligne, sont encadrés juridiquement, car ils peuvent avoir des implications « redoutables » en termes de vie privée et de protection des données à caractère personnel. Bien que le régime juridique des cookies ait été élaboré dès 2002 dans le cadre de la directive 2002/58/CE sur la vie privée et les communications électroniques (ou « directive ePrivacy »), sa mise en œuvre demeure encore très délicate et pleine de « challenges » tant pour les acteurs de l’internet, que pour les internautes et pour les autorités de contrôle et judiciaires. Il est en effet nécessaire de trouver un juste équilibre entre les droits des internautes et ceux des acteurs de l’internet, et ce, dans un cadre européen au sein duquel il n’existe pas encore à ce jour de « réel consensus » sur tous les aspects du sujet(3).

Une définition juridique large des cookies. –Dans la lignée de la directive ePrivacy, l’article 32-II de la loi du 6 janvier 1978 dite « loi Informatique et libertés » régit « toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ». Le cookie ou « témoin de connexion », tel que défini ci-dessus, n’est que l’un des dispositifs pouvant remplir l’une ou l’autre de ces fonctions. Il existe d’autres dispositifs tels que les « pixels », les « tags » ou encore l’empreinte numérique (« canvas or device fingerprinting ») qui permet d’identifier chaque équipement grâce à l’association de plusieurs caractéristiques (version du navigateur utilisé, plug-ins installés, langues utilisées, etc.) rendant chaque équipement unique. Toutes ces techniques sont soumises au régime juridique de l’article 32-II de la loi Informatique et libertés étudié ci-après(4).

Différentes catégories de cookies. – Les sites internet utilisent généralement plusieurs types de cookies. Il peut s’agir notamment de cookies dits « first party », c’est-à-dire des cookies internes associés au nom de domaine du site à partir duquel ceux-ci sont déposés et/ou lus, ou de cookies dits « third party », c’est-à-dire des cookies externes, associés à d’autres noms de domaines et émis par des personnes autres que l’éditeur du site à partir duquel ceux-ci sont déposés et/ou lus.

Régime juridique posé par l’article 32-II de la loi Informatique et libertés. – En application de l’article 32-II de la loi Informatique et libertés issu de la transposition de la directive ePrivacy, « tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

Le régime juridique des cookies implique donc a minima une information des personnes sur l’utilisation de cookies et leur(s) finalité(s) ainsi que sur les moyens de s’y opposer et un consentement des personnes à leur utilisation après avoir reçu des informations. Certains cookies sont toutefois exemptés de ces obligations. Il s’agit des cookies qui ont « pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ou qui sont« strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur »(5).

Cookies et données à caractère personnel. Application du RGPD Le recours à des cookies est également très souvent soumis au règlement européen 2016/679 du 27 avril 2016 dit règlement général sur la protection des données (« RGPD ») et aux articles de la loi Informatique et libertés y afférents, car les informations inscrites et lues sur les équipements terminaux des utilisateurs constituent très souvent des données à caractère personnel(6). C’est d’ailleurs ce que rappelle le Conseil d’État dans l’affaire ici commentée en relevant que « l'utilisation de "cookies" répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 constitue un traitement de données qui doit respecter les prescriptions de l'article 6 [de la même loi] ». Les obligations prévues par le RGPD ont ainsi très souvent vocation à s’appliquer lors de l’utilisation de cookies. Celles-ci ne feront toutefois pas toutes l’objet d’une étude ici(7), seules les obligations liées à l’information des personnes, à la base juridique des traitements et au droit d’opposition étant en lien avec l’arrêt commenté.

L’arrêt Éditions Croque Futur.– Dans son arrêt du 6 juin 2018, le Conseil d’État était amené à se prononcer sur une requête formée par les Éditions Croque Futur contre une délibération de la CNIL les condamnant à une amende de 25 000 € pour différents manquements à la loi Informatique et libertés constatés sur le site www.challenges.fr.Certains de ces manquements avaient trait au régime juridique des cookies et notamment à l’information des personnes sur les moyens de s’opposer aux cookies, au périmètre de la responsabilité de l’éditeur en cas d’utilisation de cookies « third party » sur son site et aux cas d’exemptions de certains cookies.

Plan. – Cet arrêt, publié au recueil Lebon, est l’occasion de faire un point, à l’aune du règlement européen 2016/679 du 27 avril 2016 dit règlement général sur la protection des données (« RGPD ») et de la révision en cours de la directive ePrivacy »(8), sur les règles gouvernant spécifiquement l’utilisation de cookies sur internet et en particulier sur :

- les personnes responsables de cette utilisation (I.) ;

- l’information et le recueil du consentement préalable à cette utilisation (II.) ;

- les moyens d’opposition à cette utilisation (III.).

I. Sur la responsabilité de l’utilisation de cookies

Une obligation incombant au responsable du traitement. – L’article 32-II de la loi Informatique et libertés précité prévoit que les obligations d’information et de recueil du consentement de l’internaute en matière de cookies incombent au « responsable du traitement ou son représentant ». La notion de responsable du traitement renvoie à celle définie aujourd’hui à l’article 4.7) du RGPD : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ». Cette définition, apparemment simple, n’est toutefois pas toujours aisée à mettre en œuvre en matière de cookies.

L’hypothèse de l’éditeur du site, responsable du traitement et de ses éventuels sous-traitantsDans certains cas, l’éditeur du site est le responsable du traitement. C’est ainsi le cas lorsqu’il dépose lui-même des cookies ou lorsqu’il permet le dépôt de cookies provenant de tiers afin de traiter des données uniquement pour son compte. Pour le Conseil d’État, suivant la position de la CNIL, « lorsque des "cookies" sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de "cookies" mis en place pour son compte ».Les tiers déposant des cookies pour le compte du responsable du traitement ne sont alors, quant à eux, pas responsables de l’utilisation des cookies, mais sous-traitants au sens de l’article 4. 8) du RGPD. Cela peut par exemple être le cas des cookies dits analytiques susceptibles d’être émis par des tiers pour mesurer la fréquentation de sites et uniquement utilisés par ces tiers pour fournir ces services de mesures de fréquentation sans exploiter les données à d’autres fins ou pour d’autres personnes. Bien que non responsables du traitement au sens du RGPD, des obligations incombent à ces tiers sous-traitants en application du RGPD (et notamment celle de prendre les mesures adéquates pour sécuriser les données personnelles traitées). Le RGPD exige par ailleurs à son article 28 que le traitement mis en œuvre par le sous-traitant soit régi par un contrat (ou un autre acte juridique) comportant un certain nombre de mentions obligatoires. La CNIL en déduit que« le contrat liant l’éditeur et l’émetteur de cookies doit clairement interdire à ce dernier d’exploiter les données collectées par le biais des cookies pour son compte ou pour celui d’autres sociétés ».

Une détermination du responsable du traitement parfois plus délicate. –Dans d’autres cas, l’éditeur du site ne maîtrise pas, complètement ou partiellement, les finalités et/ou moyens des traitements mis en œuvre à partir de son site. Dans ces cas de figure, l’éditeur du site n’est alors pas automatiquement le seul responsable. Les relations entre les éditeurs de sites, les tiers émetteurs de cookies et leurs intermédiaires peuvent alors être délicates à définir, au point que la CNIL a déjà pu décider de ne pas se prononcer sur un grief faute de pouvoir déterminer le responsable.

L’hypothèse de l’éditeur du site responsable conjoint. – L’éditeur du site peut être responsable aux côtés de tiers. C’est ce que retient le Conseil d’État en affirmant que« les éditeurs de site qui autorisent le dépôt et l'utilisation de tels "cookies" par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le "cookie", notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation ».

L’éditeur du site et le tiers émetteur de cookies seraient alors responsables conjoints au sens de l’article 26 du RGPD. Cette possibilité de coresponsabilité avait déjà été avancée par le groupe des autorités européennes de protection des données, le G29 (devenu désormais le Comité Européen de Protection des Données ou CEPD) et par la CNIL. Elle a également été retenue la veille de l’arrêt ici commenté par la CJUE dans l’affaire Wirtschaftsakademie concernant une page fan sur le réseau Facebook. Dans cette affaire, la Cour a considéré que les sociétés Facebook devaient être considérées comme responsables conjointes, avec les administrateurs de ces pages fan, de la collecte des informations relatives aux visiteurs de ces pages dans le cadre de l’outil de mesure d’audience Facebook Insight et paramétré par lesdits administrateurs. Dans une telle hypothèse, la CJUE précise toutefois que « l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce ».

Les obligations de chacun dépendront donc au cas par cas du rôle de l’éditeur et des tiers. Toutefois, la répartition de ces obligations demeure floue et incertaine. Assez logiquement et sauf exceptions, l’éditeur du site devrait le plus souvent être tenu en pratique de fournir les moyens d’information des visiteurs de son site et de mettre à leur disposition des moyens d’opposition, car il sera a priori le plus à même de le faire sur son propre site. En revanche, la responsabilité de l’exactitude et de la complétude de cette information et de l’effectivité de ces moyens d’opposition pourrait incomber aux tiers émetteurs des cookies, seuls à même de garantir ces éléments.

Le meilleur moyen pour un éditeur de s’assurer du respect par les tiers de leurs obligations consiste à conclure avec les tiers, émetteurs des cookies et/ou leurs intermédiaires, des contrats dans lesquels seraient précisées les obligations de chacun. Un tel accord définissant les rôles de chacun est d’ailleurs exigé à l’article 26 du RGPD en présence de responsables conjoints. Toutefois, l’éditeur n’est pas toujours en contact direct avec ses partenaires et d’autres solutions que le contrat, telles que l’adhésion à des chartes et des codes de bonne conduite dans des réseaux de partenariat fermés, pourraient être envisagées.

En complément de cet encadrement contractuel, une « obligation de diligence particulière » pèserait toutefois encore sur l’éditeur du site « afin de vérifier la conformité des informations préalables communiquées aux utilisateurs et le caractère approprié des moyens mis à leur disposition pour s’opposer au placement de cookies ». Le Conseil d’État ajoute en effet qu’« au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figure celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des "cookies" qui ne respectent pas la réglementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements ». Il reproche notamment à l’éditeur dans l’affaire ici commentée d’avoir laissé perdurer des cookies déposés sur son site qui avaient une durée de vie disproportionnée par rapport à leur finalité (85 ans…) et surtout de n’avoir effectué aucune démarche auprès de l’émetteur du cookie pour qu’il se mette en conformité.

Cette interprétation rejoint celle proposée par son rapporteur public qui considère que, lorsque le paramétrage des cookies tiers dépend de l’émetteur, c’est sur ce dernier que pèse « l’obligation de résultat en matière de conformité à la loi », mais « et c’est le point crucial, pèse sur le site au contact duquel sont déposés les cookies une obligation de moyens consistant à s’assurer auprès des émetteurs tiers qu’ils respectent sur ce point la réglementation, et d’effectuer toute démarche utile pour qu’ils mettent fin à ces manquements », le but étant « sans mettre à leur charge d’obligations démesurées, de ne pas déresponsabiliser les éditeurs de site qui ont tout de même la responsabilité du support de navigation déclenchant le dépôt des cookies ».

Il semblerait donc, pour le rapporteur et le Conseil d’État, que la répartition des responsabilités entre l’éditeur du site et le tiers émetteur du cookie ne se ferait pas nécessairement de façon distributive en fonction des obligations du RGPD ou de la directive ePrivacy, mais plutôt en termes de degré de responsabilité entre obligation de moyen et obligation de résultat.

L’hypothèse de l’éditeur du site sous-traitant. – Selon la CNIL, l’éditeur du site pourrait être le simple sous-traitant des tiers émettant des cookies déposés sur son site. Ce serait par exemple le cas lorsque des données sont collectées par des cookies émis par des tiers et exploitées uniquement par leur émetteur pour son propre compte ou le compte de tiers (par ex. : en présence « d’une plateforme d’enchère en temps réel qui vend aux annonceurs le droit d’afficher une publicité sur une page web »). La CNIL souligne alors que « la relation entre les éditeurs de site sous-traitant et l’émetteur de cookie doit être encadrée contractuellement de manière à garantir notamment le recueil d’un consentement préalable et informé des personnes spécifique au site visité, ainsi que la mise à disposition de moyens d’opposition effectifs avant tout dépôt de cookies ».

La frontière avec la coresponsabilité semble ténue, car, même dans cette hypothèse, la CNIL estime que « les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. En pratique, […] il leur appartient donc de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer. Toutefois, dans le cas numéro 2 [cas de la sous-traitance de l’éditeur] et dans la mesure où l’éditeur doit adresser aux internautes l’information relative au traitement réalisé par un tiers, seul ce dernier peut voir sa responsabilité engagée si cette information est incomplète ou erronée ».

En toutes hypothèses, il apparaît donc que l’éditeur d’un site qui comporte des cookies devra veiller à l’information des personnes et au recueil de leur consentement dans le respect de la législation.

II. Sur l’information et le consentement à l’utilisation de cookies

Plan. – Comme rappelé ci-dessus, les internautes doivent recevoir un certain nombre d’informations avant tout accès ou inscription d’informations dans leurs équipements terminaux (B.) et pouvoir consentir à cet accès ou cette inscription (C.).Certains cookies sont toutefois exemptés de ces obligations spécifiques à la réglementation ePrivacy (A.).

A. Les cookies exemptés

Exemptions prévues par la réglementation ePrivacy.Conformément à l’article 5.3 de la directive ePrivacy, l’article 32-II, dernier alinéa, prévoit que les dispositions relatives au consentement et à l’information des personnes en matière de cookies, « ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique [dit Critère A selon le G29] ;

soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur [dit Critère B par le G29] ».

Le recours à des cookies répondant à l’un ou l’autre de ces critères ne nécessite alors ni d’informer préalablement l’internaute, ni de prévoir des moyens de s’y opposer, ni de recueillir son consentement avant leur dépôt en application de cet article. Ainsi, le Conseil d’État confirme que ces cookies « ne sont pas concernés par ces obligations ».

Portée de l’exemption au regard de la réglementation applicable aux données à caractère personnel. – Comme indiqué ci-dessus, le recours à des cookies est en principe très souvent également soumis au RGPD et à la loi Informatique et libertés. La question de l’articulation entre les règles ePrivacy, d’une part, et la loi Informatique et libertés et le RGPD, d’autre part, n’est pas une question aisée. On considère généralement qu’il s’agit d’un rapport de droit spécial (réglementation « ePrivacy ») / droit général (loi Informatique et libertés et RGPD), à tout le moins pour ce qui concerne les bases juridiques des traitements. Toutefois, s’agissant du régime des cookies exemptés, le périmètre des règles spéciales qui dérogeraient aux règles générales n’est pas très clair :

L’exemption de consentement aboutit-elle à considérer qu’il n’est pas nécessaire d’avoir une base juridique au traitement de données ou plutôt à considérer que la base juridique du traitement serait celle des intérêts légitimes de l’éditeur du site ?

Dans ce dernier cas, les personnes devraient bénéficier d’un droit d’opposition en application du RGPD. Mais la réglementation ePrivacy semble, en tant que loi spéciale, déroger à l’existence d’un droit d’opposition en supprimant la possibilité de s’opposer à des cookies exemptés de consentement.

Quant à l’information des personnes, les règles ePrivacy dispensent de l’information des personnes sur les finalités des cookies et sur les moyens de s’y opposer. Mais, en application du RGPD, les autres informations prévues à l’article 13 du RGPD (identité du responsable du traitement, destinataires des données, droits des personnes concernées, transferts hors EEE, durée de conservation,etc.) devraient en principe être communiquées aux utilisateurs.

Les précisions du G29 et de la CNIL sur les critères d’exemptions. – Le G29 a publié en 2012 un avis visant à guider l’interprétation des conditions d’exemption de certains cookies, dans lequel il adopte une conception très stricte de ces conditions.

Ainsi, pour remplir le Critère A, le cookie doit être « indispensable » pour permettre (et non faciliter, terme qui a disparu de la directive ePrivacy en 2009 sans que cela ne soit transposé dans la loi Informatique et libertés) la transmission de la communication entre deux parties par la voie du réseau utilisé, ce qui sera le cas s’il est indispensable pour acheminer l’information sur le réseau, pour échanger les données dans l’ordre prévu ou pour détecter des erreurs de transmission ou des pertes de données. Selon le G29, Il s’agit donc de cookies purement techniques tels que les cookies de session d’équilibrage de charge (« load balancing ») permettant de répartir le traitement des demandes adressées à un serveur sur plusieurs équipements.

Quant au Critère B, pour le remplir, le cookie doit être « strictement nécessaire » à un service de la société de l’information (site internet, applications mobiles, etc.), ce qui signifie que, sans celui-ci, le service ne fonctionnerait pas, étant précisé que :

cette appréciation devrait être effectuée du point de vue de l’utilisateur et non du fournisseur du service (ce qui semble pourtant contraire à l’article 5 de la directive ePrivacy qui utilise la formule : « strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur »).

un site peut comporter plusieurs services (c’est-à-dire plusieurs fonctionnalités) et que les cookies du Critère B doivent donc, pour le G29, nécessairement pouvoir être modulés en fonction des fonctionnalités expressément demandées par un utilisateur par le biais d’une « action positive » (comme le fait de cliquer sur un élément ou de se connecter à un espace).Le G29 prend l’exemple d’un journal en ligne librement accessible à tous, mais avec des fonctionnalités complémentaires comme la possibilité de commenter les articles ouvert euniquement aux seuls utilisateurs connectés. Le fait de se connecter revient, dans cet exemple, à demander expressément la fourniture de la fonctionnalité complémentaire pouvant impliquer, pour fonctionner, le recours à des cookies susceptibles d’être exemptés, comme des cookies d’authentification expirant à la fin de la session.

D’autres exemples de cookies répondant au Critère B sont donnés par le G29, tels que les paniers d’achats expirant à l’issue de la session ou les cookies de mémorisation de préférences (linguistiques, affichage des résultats, etc.) installés à la suite d’une demande de mémorisation de l’internaute.

Le G29 donne plus généralement deux indices susceptibles d’indiquer qu’un cookie pourrait répondre ou non aux Critères A ou B :

la durée de vie du cookie, qui est généralement limitée à la session de navigation en cours, voire plus courte. Au-delà, le cookie ne serait a priori, le plus souvent, pas indispensable au fonctionnement du site

les cookies opérés par des tiers ne sont pas, dans la grande majorité, exemptés, car ils ne sont généralement pas indispensables au fonctionnement du site.

Toutefois, il ne s’agit que d’indices. Un cookie peut par exemple avoir une durée de vie plus longue qu’une session et être exempté (tels les cookies de sécurité centrés sur l’utilisateur).Un cookie peut aussi émaner d’un tiers, mais remplir une fonction purement technique non gérée par l’éditeur.

Ainsi, seul l’examen de toutes les finalités poursuivies pour chaque cookie permet in fine d’apprécier leur éligibilité ou non à l’exemption.

Le cas particulier des cookies de mesure d’audience. – En complément de ces cas d’exemption légaux, la CNIL a considéré que certains cookies dits analytiques permettant de mesurer l’audience des sites pouvaient ne pas nécessiter le recueil de l’accord préalable des internautes compte tenu des risques limités sur la vie privée des internautes suscités par ces outils qui avaient été soulignés par le G29. Ces outils doivent toutefois répondre à certaines conditions (information, opposition aisée, absence de suivi sur différents sites, utilisation par un seul éditeur, géolocalisation de l’internaute sur la base de l’adresse IP à l’échelle de la ville, anonymisation ou suppression immédiate de l’adresse IP une fois la géolocalisation effectuée...). En réalité, peu de solutions de mesures d’audience permettent de répondre à ces critères. À ce jour, la CNIL en liste deux : l’outil Piwik qu’elle utilise elle-même sur son site et l’outil XiTi.Les autorités de contrôle ont appelé de leurs vœux une consécration législative de cette nouvelle catégorie de cookies exemptés. La révision de la directive ePrivacy pourra peut-être permettre d’introduire celle-ci.

Exclusion des cookies publicitaires. – Dans l’arrêt commenté, les Éditions Croque Futur se prévalaient du Critère B en soutenant que les cookies utilisés à des fins publicitaires étaient nécessaires à la viabilité économique du site Challenges et donc à la « fourniture d’un service de la société de l’information » (le site) à la « demande expresse » des internautes. Compte tenu de l’interprétation très restrictive de l’exemption adoptée par les autorités de contrôle exposée ci-avant, lesquelles avaient en outre expressément exclu les cookies publicitaires des cookies exemptés, cet argument avait toutefois peu de chances de prospérer. Les cookies utilisés pouvaient en effet être considérés comme nécessaires pour l’éditeur, mais in fine, le site pouvait bien techniquement fonctionner en l’absence de ces cookies et n’étaient pas nécessaires pour les utilisateurs. Le Conseil d’État juge ainsi sans surprise que « le fait que certains « cookies » ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne ». Les visiteurs du site Challenges devaient donc être informés du recours à ces cookies et leur consentement devait être recueilli.

B. L’information des internautes prévue par la réglementation ePrivacy

Contenu de l’information. – En application de l’article 32-II précité, les internautes doivent être informés des finalités poursuivies lors de l’utilisation des cookies non exemptés. Les internautes doivent également être informés sur les moyens de s’opposer à cette utilisation. Bien que la liste des informations à communiquer aux internautes prévue par l’article 32-II précité semble exhaustive, selon certains acteurs et notamment le G29, la communication d’autres informations susceptibles d’éclairer les internautes est aussi recommandée, pour certains cookies notamment publicitaires, pour permettre aux internautes de comprendre cet usage et de donner un consentement éclairé (par exemple, sur la durée de vie du cookie et l’existence de cookies émis par des tiers).Un moyen efficace de communiquer de façon intelligible ces informations peut être de les communiquer par cookie ou famille de cookies regroupés par finalités, par exemple dans un tableau.

Modalités de communication de l’information. – Dans la mesure où les accès et inscriptions de cookies sont réalisés à partir de sites internet ou d’applications mobiles, les informations doivent être communiquées sur ces sites ou applications, y compris si les cookies utilisés sont émis par des tiers.

Elles doivent aussi être communiquées activement aux internautes. Selon le G29, « il n’est pas suffisant que les informations soient « disponibles » quelque part sur le site internet consulté par l’utilisateur ».Les méthodes de communication devraient « être les plus conviviales possible » (« user friendly »). Les informations communiquées doivent par ailleurs être rédigées dans un « langage compréhensible du point de vue d’une personne non formée aux technologies de l’internet ».La CNIL précise ainsi que « l'utilisation d'une terminologie juridique ou technique trop complexe ne répondrait pas à l'exigence d'une information préalable ». Cela est d’autant plus important que « la validité du consentement [de l’internaute]est liée à la qualité de l'information reçue ».

Pour répondre à cette obligation, la CNIL recommande une information en deux étapes consistant en un bandeau d’information s’affichant dès l’arrivée des internautes sur un site internet. Sur le bandeau elle suggère de faire figurer de façon succincte des informations relatives aux finalités poursuivies par l’utilisation des cookies, mais également à la possibilité de s’y opposer. À cet égard, la simple mention de la possibilité de « gérer » les cookies ne serait pas suffisante selon la CNIL, car elle ne permet pas de comprendre que l’on peut les refuser. Après le stade du bandeau, des informations plus complètes peuvent ensuite être communiquées sur la page vers laquelle le bandeau redirige.

C. Le consentement des internautes dans le cadre de la réglementation ePrivacy

Un consentement « façon RGPD ». –Conformément à l’article 32-II précité, les accès ou inscriptions dans le terminal des utilisateurs« ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

Cet accord devrait répondre aux mêmes exigences que celles posées par le RGPD pour le consentement au traitement de données personnelles. Il doit résulter d’une manifestation de volonté indubitable, informée, libre et spécifique et être préalable à l’accès ou à l’inscription.

Une manifestation de volonté indubitable... – Pour que sa volonté se manifeste, une « action positive » de la part de l’internaute est requise. Un système d’opt-out, présumant le consentement des internautes jusqu’à leur opposition, n’est donc pas suffisant. Pour que cette manifestation soit indubitable, « la procédure relative à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à l’intention de la personne concernée ». Par exemple, le fait de cliquer sur un lien « En savoir plus » sur un bandeau d’information sur les cookies ne peut être interprété de façon indubitable comme un consentement à leur utilisation.

La CNIL a préconisé, pour répondre à ces exigences, de « préciser [sur le bandeau d’information précité] par quel moyen l’internaute est susceptible de consentir à l’utilisation de ces traceurs (poursuite de la navigation, clic sur un bouton directement dans le bandeau, etc.) ». Elle a considéré notamment que le fait de poursuivre sa navigation pouvait, dans ce contexte, être interprété comme un consentement de l’internaute ayant vu ce bandeau.Pourtant, des doutes sérieux avaient été émis sur la validité de ce consentement. Le G29 est venu confirmer ces doutes en affirmant que « […]la simple poursuite de l’utilisation ordinaire d’un site internet n’est […] pas un comportement qui permet de supposer une manifestation de volonté de la part de la personne concernée visant à donner son accord à une opération de traitement envisagée. […]Faire défiler une page ou naviguer sur un site internet ne satisfait pas à l’exigence d’un acte positif clair. La raison en est que la notification indiquant qu’en continuant à faire défiler la page, l’utilisateur donne son consentement peut être difficile à distinguer et/ou peut être manquée lorsqu’une personne concernée fait rapidement défiler de longs textes, et qu’une telle action n’est pas suffisamment univoque». La poursuite de la navigation ne devrait donc plus pouvoir être interprétée comme une manifestation de consentement valable à l’utilisation de cookies.

En pratique, de nombreuses solutions alternatives sont possibles, telles que le recours à un bandeau nécessitant un comportement plus proactif des internautes, par exemple une action consistant à cliquer sur un bouton « OK » ou des boutons « OUI » ou « NON » ou « J’accepte » ou « Je refuse ». Ce type de bandeau est aujourd’hui de plus en plus répandu sur les sites internet. D’autres systèmes peuvent bien entendu être envisagés comme le recours à une fenêtre pop-up.

...informée... –Pour que le consentement de l’internaute soit informé, celui-ci doit avoir connaissance des finalités poursuivies lors des accès aux équipements terminaux des internautes, mais également de la nature même de l’acte par le biais duquel il exprimera son consentement. Cette information doit être « visible, mise en évidence et complète » et être située à proximité du dispositif utilisé pour recueillir le consentement, par exemple sur le bandeau précité.

...libre... – Ce consentement doit également être libre. Selon la CNIL, « le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et n'est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement.[…] Elle estime donc justifié que la personne qui refuse un cookie nécessitant un consentement puisse continuer à bénéficier du service (accès à un site internet, par exemple) ». Cette position est également celle du G29, renforcée récemment par l’adoption du RGPD. Toutefois, comme le relève le rapporteur public dans l’affaire ici commentée, cette position « maximaliste » apparaît discutable. Ni la directive, ni la loi française ne semble interdire à un éditeur de refuser l’accès à son service si l’utilisateur refuse certains cookies. Au contraire, le considérant 25 de la directive ePrivacy énonce que« l'accès au contenu d'un site spécifique peut être, toutefois, subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes ». Le rapporteur public ajoute que, lors des travaux préparatoires à la loi n° 2004-801 du 6 août 2004, qui a introduit la version initiale de l’article 32-II, l’Assemblée nationale avait adopté une disposition interdisant de subordonner l'accès à un site à l'acceptation des cookies et le Sénat l’avait supprimée en se fondant sur le considérant 25 de la directive. Cette question du consentement libre n’a toutefois pas donné lieu à une prise de position du Conseil d’État dans l’arrêt commenté, car les faits de l’affaire permettaient de la contourner.

...spécifique... –Pour que le consentement soit spécifique, les internautes devraient en principe être en mesure de consentir à chaque cookie ou famille de cookies séparément en fonction de leur finalité. Ainsi, le G29 recommande« de s’abstenir d’utiliser des mécanismes de consentement qui n’offrent à l’utilisateur que la possibilité de donner son consentement mais qui ne proposent aucun choix en ce qui concerne l’ensemble des cookies ou certains d’entre eux ». Pour le G29, « il est donc vivement recommandé d’égrener les options dont dispose l’utilisateur ». Cela étant précisé, la pratique tend à retenir un système où le premier mécanisme de consentement proposé lors de l’arrivée de l’internaute ne permet pas un consentement granulaire en fonction des finalités des cookies, mais seulement une possibilité d’accepter tous les cookies ou d’« en savoir plus ». Cela ne signifie pas que la faculté de granularité du consentement est systématiquement absente. Celle-ci peut ainsi être exercée dans un second temps sur une page vers laquelle redirige un lien présent sur le premier message d’information communiqué aux internautes. Le cas échéant, les différentes finalités devraient en principe être désactivées par défaut afin que l’internaute exprime positivement son choix de les activer. Dans le cas contraire, il pourrait ne pas s’agir formellement de l’expression d’un consentement, mais d’une opposition (cf. infra).

...et préalable... – Enfin, le consentement des internautes doit être préalable et donc être recueilli avant l’accès ou l’inscription des informations sur leurs équipements terminaux. Cela implique, en présence d’un bandeau, que l’action requise de l’internaute (clic sur « OK » par ex.) pour consentir soit accomplie préalablement.

Un consentement à renouveler. – Une fois recueilli, le consentement doit avoir une durée de vie limitée dans le temps. L’internaute peut en effet oublier qu’il a pu consentir à de tels accès ou inscriptions de données qui sont quasiment invisibles pour l’internaute. La CNIL recommande que les cookies et autres traceurs aient une durée de vie de 13 mois maximum, et ce, que les internautes se rendent de nouveau sur le site internet concerné ou non.Il s’agit notamment de l’un des griefs faits au site Challenges dans l’arrêt commenté. En effet, la société n’avait pas « donné suite à la mise en demeure de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois pour les « cookies » déposés à l’occasion de la visite du site qu’elle édite ».

Cette durée n’est toutefois par une valeur absolue et d’autres durées pourraient devoir être retenues si celles-ci sont bien justifiées et adéquates.Cette exigence de limitation de durée est d’autant plus importante dans l’hypothèse d’une centralisation des consentements pour plusieurs sites internet. Le G29 recommande ainsi de limiter dans ce cas la durée à un an pour les cookies publicitaires.

Un consentement révocable. – Enfin, le consentement donné à l’utilisation de cookies doit être révocable à tout moment, et ce, en application de l’article 7 du RGPD, de façon aussi simple que pour le donner. Cela rejoint la nécessité de mettre des moyens d’opposition effectifs et aisément exerçables à la disposition des internautes.

III. Sur les moyens d’opposition à l’utilisation de cookies

Les dispositifs d’opposition envisageables. – Conformément à l’article 32-II de la loi Informatique et libertés, les internautes doivent pouvoir s’opposer à l’utilisation des cookies non couverts par l’exemption étudiée ci-avant. Les internautes devraient pouvoir avoir le choix de s’opposer à tout ou partie de ces cookies en fonction des différentes finalités poursuivies. Ils peuvent en effet souhaiter accepter l’utilisation de cookies pour mesurer l’audience d’un site, mais la refuser à des fins de ciblage publicitaire.

Plusieurs moyens d’opposition sont envisageables :

- l’installation de dispositifs sur le site permettant la désactivation de chaque cookie ou de chaque famille de cookies regroupés par finalité ;

- le renvoi à d’autres sites sur lesquels des dispositifs permettent la désactivation de certains cookies ou certaines familles de cookies regroupés par finalité (par exemple, pour les cookies de la solution Google Analytics) ;

- le renvoi aux paramètres des logiciels de navigation ;

- le renvoi à l’option « Do Not Track » ouverte par certains logiciels.

Encore faut-il toutefois que ces dispositifs permettent réellement et sans difficultés de s’opposer aux cookies ou aux familles de cookies regroupés par finalités.

L’inefficacité très fréquente du paramétrage des logiciels de navigation. – Or, tel n’est notamment pas le cas dans la très grande majorité des cas pour le paramétrage des logiciels de navigation. Afin que celui-ci puisse être jugé efficace, il faudrait en effet qu’il permette aux individus de s’opposer à chaque cookie ou à chaque famille de cookies regroupés par finalité ou par type de cookies (cookies de fonctionnement, cookies soumis à consentement). Or, les paramétrages de navigateur ne permettent en réalité que de s’opposer soit à tous les cookies(ce qui empêche généralement de naviguer sur de nombreux sites internet), soit aux cookies third party. Il n’est en revanche pas possible en général de paramétrer les cookies en fonction de leurs finalités (techniques, nécessaires au fonctionnement, mesures d’audience, partage sur les réseaux sociaux, publicitaires, etc.).Ainsi, la CNIL a sanctionné les sociétés Facebook au motif qu’elles :« ne laiss[ai]ent que deux choix aux utilisateurs : soit ces derniers choisissent, via ce paramétrage, de bloquer tous les cookies déposés sur leur équipement terminal, soit ils décident de refuser uniquement les cookies third party c’est-à-dire ceux issus de domaine tiers au site facebook.com […] aucune de ces deux solutions n’est satisfaisante. Dans la première solution, le blocage de tous les cookies entraînera nécessairement le blocage des cookies techniques essentiels au fonctionnement du site et empêchera les utilisateurs d’accéder aux services du réseau social. À l’inverse, dans la deuxième solution, en ne bloquant que les cookies third party, les utilisateurs ne pourront s’opposer aux cookies first party à finalité publicitaire déposés par le site facebook.com et seront ainsi privés de toute modalité d’opposition contre ces derniers[…] en l’espèce, le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal ».

Le Conseil d’État fait sienne cette solution dans l’arrêt commenté. Il juge que « les éléments portés à la connaissance des utilisateurs du site"www.challenges.fr" ne leur permettaient ni de différencier clairement les catégories de "cookies" susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de "cookies" et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion ».

Les cas dans lesquels le paramétrage du logiciel de navigation sera considéré comme suffisant sont donc rares. Ainsi, pour la CNIL, « le paramétrage du navigateur ne peut être considéré comme un mécanisme valable d’opposition au dépôt des cookies que dans deux cas :

le site ne dépose pas de cookies techniques essentiels à son fonctionnement : dans ce cas, la personne concernée peut paramétrer son navigateur de manière à bloquer le dépôt de tous les cookies, qu’ils proviennent du domaine du site (cookies first party) ou du domaine d’un tiers (cookies third party), dont ceux nécessitant son consentement, et ce sans l’exposer à des conséquences négatives importantes ;

le site ne dépose pas de cookies first party nécessitant le recueil du consentement de la personne concernée : dans ce cas, cette dernière peut paramétrer son navigateur de manière à bloquer le dépôt de cookies third party sans empêcher le site de fonctionner ni risquer que des cookies first party soumis au consentement ne soient déposés ».

La CNIL semble ainsi tolérer que les facultés d’opposition ne soient pas distinguées en fonction des finalités des différents cookies, mais de la catégorie de cookies (exemptés ou non exemptés). En effet, un site peut recourir uniquement à des cookies émanant de tiers ou de ses propres serveurs poursuivant des finalités différentes (par exemple en présence de cookies publicitaires et de cookies de mesures d’audience) et répondre donc aux hypothèses envisagées ci-dessus par la CNIL. Le cas échéant, le paramétrage du navigateur semble pouvoir être considéré comme suffisant alors même que l’internaute ne se verrait pas offrir la possibilité d’accepter par exemple les mesures d’audience en refusant les cookies publicitaires. Toutefois, le paramétrage du navigateur ne permet pas toujours de s’opposer aux accès ou inscriptions d’informations sur les équipements terminaux. En effet, certaines techniques permettent ces accès et inscriptions en dépit de logiciels de navigation paramétrés pour refuser les cookies. En cas de recours à ces techniques, le paramétrage du navigateur ne pourrait donc pas être suffisant.

Un sujet loin d’être épuisé. – De nombreuses questions demeurent encore ouvertes : le fait de contraindre une personne souhaitant s’opposer à l’utilisation de cookies pour une même finalité à sélectionner chaque cookie, y compris lorsque le nombre de cookies poursuivant cette finalité est important, rend-il ineffective la possibilité d’opposition ? Le fait de rediriger un internaute vers un site tiers pour exprimer ses choix en matière d’opposition à l’utilisation d’un cookie ou d’une famille de cookies peut-il être considéré comme suffisant ? Si oui, le fait de procéder de la sorte pour un grand nombre de cookies ou famille de cookies pourrait-il être considéré comme également suffisant ou comme rendant trop difficile l’exercice de ces oppositions ? Bref, il reste encore quelques « Challenges » à relever en matière de cookies…

 

22 novembre 2018 - Légipresse N°364
9299 mots
> Commenter
Ajouter un commentaire
Titre du commentaire :
Message :
Envoyer