CNIL - Délibération n°SAN-2021-013 du 27 Juillet 2021
Au mois d’août 2018, la CNIL a reçu une plainte d’une internaute indiquant que le site Lefigaro.fr avait déposé des cookies sur son terminal avant toute action de sa part et donc sans son consentement.
La CNIL a procédé à plusieurs contrôles en ligne sur le site ; elle a également adressé des questions à l’éditeur du site pour finalement adresser un rapport proposant une sanction.
Dans sa décision prononçant une sanction d’un montant de 50 000€, la formation restreinte de la CNIL considère qu’un éditeur qui permet à des tiers d’installer des cookies sur son site doit :
- S’assurer que ces tiers ne déposent pas, sur son site, des cookies violant la règlementation applicable et
- Effectuer les démarches nécessaires pour faire cesser le manquement constaté.
Cette position n’est pas nouvelle et a d’ailleurs été validée par le Conseil d’Etat dans un arrêt en date du 6 juin 2018. D’ailleurs la CNIL indique que :
- La société éditrice contestait pourtant la violation de la loi qui lui était reprochée arguant que les données issues des cookies n’étaient pas exploitées à des fins publicitaires. Sur ce point la formation restreinte de la CNIL considère que le seul fait de déposer des cookies publicitaires sur le terminal de l’utilisateur, avant toute action de sa part ou malgré son refus, est suffisante pour caractériser l’existence d’un manquement à l’article 82 de la loi "Informatique et Libertés" ; le fait que les données aient été ou non exploitées n’est pas un critère retenu.
- La formation restreinte relève que la société éditrice a bien contacté par mail le partenaire à l’origine du dépôt de ce cookie en violation des règles applicables, cependant aucune autre mesure n’a rapidement été prise pour mettre fin au dépôt récurrent de ce cookie. La formation restreinte a donc considéré que ces envois de mails étaient manifestement insuffisants pour faire respecter les dispositions de l’article 82 de la loi "Informatique et Libertés".
- La société éditrice du site avait également mis en place un outil de veille sur son site, qui cependant était paramétré pour effectuer uniquement un contrôle à partir du navigateur Chrome qui était utilisé par moins de la moitié des utilisateurs du site. La formation restreinte estime que, là encore, ce moyen est manifestement insuffisant pour s’assurer du respect des dispositions de l’article 82 de la loi "Informatique et Libertés".
Cette décision de la CNIL est intéressante sur plusieurs points. Il s’agit d’une décision assez longue (44 pages) dont le début retrace la procédure et les contrôles effectués par la CNIL. L’analyse de cette décision permet de constater :
- Qu’une seule plainte a déclenché les contrôles de la CNIL,
- Que la procédure a duré relativement longtemps (presque 3 ans - août 2018 à juillet 2021 - entre la plainte et l’audience de la formation restreinte), et semble avoir nécessité beaucoup de ressources de la part de la CNIL qui a procédé à pas moins de 5 contrôles en ligne,
- Les échanges entre les contrôleurs de la CNIL et les équipes de l’éditeur ont été nombreux et portaient sur des points visiblement très techniques.
Ceci signifie que ce type de dossier semble être relativement consommateur de temps pour les équipes de la CNIL, aussi l’on peut se demander si la CNIL dispose des moyens et des équipes pour réaliser un nombre important de procédure de ce type tous les ans.
En effet, même si la CNIL a prononcé récemment des sanctions importantes contre Google et Amazon, il n’empêche que l’activité de contrôle et de sanction ne représente qu’une partie des nombreuses missions de la Commission. Or, comme la CNIL l’a indiqué dans son rapport annuel, en 2020 elle a :
- Procédé à 247 contrôles,
- Prononcé 14 sanctions, 49 mises en demeure, 38 rappels à l’ordre et 2 avertissements.
Cependant, dans le même temps, elle a reçu 13 585 plaintes et 2 825 notifications de violations de données à caractère personnel.
En conclusion, si cette décision démontre que la position de la CNIL en matière de cookies est particulièrement rigoureuse, on peut également se demander combien de procédures aussi lourdes la CNIL peut mener à leur terme tous les ans…
