Connexion
Abonnez-vous

Justice : un site ne peut se défausser sur le navigateur pour l’opposition aux cookies publicitaires

Pas un Geste !

Justice : un site ne peut se défausser sur le navigateur pour l'opposition aux cookies publicitaires

Le 12 juin 2018 à 13h13

Peut-on déposer des cookies tout en proposant de paramétrer son navigateur pour espérer répondre au droit d’opposition de la loi de 1978 ? Non, a répondu la CNIL, suivie par le Conseil d’État dans un contentieux visant l’éditeur de Challenges.fr.

En mai 2017, la CNIL avait sanctionné les Éditions Croque Futur d’une amende de 25 000 euros. Deux ans plus tôt, l’éditeur bien nommé du site Challenges.fr avait été contrôlé par une délégation de la commission qui avait remonté plusieurs manquements dans ses filets. La commission laissait alors trois mois à la société pour rectifier le tir.

En vain. À l’expiration de ce délai, la CNIL avait adressé une lettre de relance, restée elle aussi sans suite. C’est dans ces conditions que la présidente de l’autorité décidait d’initier une procédure de sanction qui s’est achevée le 18 mai 2017 (inutile de rechercher la décision, la commission ne l’a pas rendue publique).

L’éditeur avait cependant contre-attaqué devant le Conseil d’État, exposant en substance que la CNIL aurait dû procéder à un nouveau contrôle pour s’assurer finalement de la conformité du traitement.

Dans son arrêt du 6 juin 2018, la haute juridiction administrative a conclu au contraire à l’absence d’irrégularité, en rappelant l’impérieux devoir de collaboration des responsables de traitement (qu’on retrouve dans le RGPD). En particulier, lorsqu’une procédure disciplinaire « fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer », prévue à l’article 21 de la loi du 6 janvier 1978.

En clair, une entreprise doit non seulement corriger les défaillances dans son système de traitement, mais au surplus collaborer activement avec l’autorité de contrôle dans le délai imparti. Et tant pis pour l'oublieuse si, finalement, les rustines avaient été apposées en temps et en heure.

Le statut des cookies publicitaires 

Le point central de ce contentieux concerne néanmoins l’obligation d’information qui pèse sur les acteurs en ligne à l’égard des internautes, en particulier dans la gestion des cookies. À la lecture de la loi de 1978, on en distingue plusieurs types.

S’agissant des cookies déposés par l’éditeur, s’impose en principe une obligation d’information sur les finalités et les moyens dont disposent les utilisateurs pour s’y opposer. Deux exceptions sont prévues, à savoir les cookies techniques, essentiels au fonctionnement du site, et ceux qui correspondent à la fourniture d’un service à la demande expresse de l’utilisateur (voir la page dédiée du site de la CNIL).

Justement. La juridiction a balayé d’un revers de la main les arguments de Challenges.fr : « contrairement à ce que soutient la société, le fait que certains "cookies" ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme "strictement nécessaires à la fourniture" du service de communication en ligne ». Avec en creux, une belle gifle assénée à « l’intérêt légitime » derrière lequel s’abritent tant de sites aujourd’hui, pour tenter d’évincer le recueil du consentement, version RGPD.

Le paramétrage du navigateur pour s'opposer au dépôt des cookies

La société affirmait s’être conformée à la mise en demeure dès juin 2016 en demandant aux internautes de paramétrer leur navigateur pour s’opposer au dépôt de ces fameux cookies (voir la page « donnée personnelle » capturée au 16 juin 2016 sur Internet Archive).

Un peu trop simple... Selon la CNIL, cette astuce n’est pas un mode valable d’opposition. Grille de lecture validée par le Conseil d’État, avec une série d’arguments en béton :

« Les éléments portés à la connaissance des utilisateurs du site" www.challenges.fr " ne leur permettaient ni de différencier clairement les catégories de " cookies " susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition »

Bref, une échappatoire éparpillée façon puzzle.

Cookies tiers et co-responsabilité 

Au passage, les juges ont remis les pendules à l’heure sur l’identité du responsable du traitement. Lorsqu’un site dépose un cookie, il est désigné responsable. S’il sous-traite cette tâche, « il en va de même ».

Et s’agissant des cookies tiers ? C’est un régime de coresponsabilité entre le tiers (une régie publicitaire par exemple) et le site qui a autorisé ce dépôt. Certes, la répartition des charges n’est pas équivalente. Si le tiers doit maitriser la finalité et la durée de conservation, le site doit à tout le moins s’assurer que les cookies émis par son intermédiaire respectent bien la réglementation en vigueur.

Ici, la société n’avait pas donné suite à la mise en demeure de la CNIL « de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois » pour ses cookies. Et pour ceux déposés par des tiers, déposés lors des visites, « il résulte de l'instruction que ses allégations selon lesquelles elle aurait effectué des démarches auprès de ses partenaires afin qu'ils respectent une durée de conservation ne sont étayées d'aucun élément ».

La requête de l’éditeur de Challenges.fr a donc été déboutée, et l’amende confirmée dans toute sa latitude.

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Du coup j’espère que ça va faire jurisprudence et être appliqué par tous les sites, car j’en voit un paquet de site qui disent “aller configurer votre navigateur”

votre avatar

Et du coup la quasi totalité des sites (le monde, le figaro, les échos, libération, 20minutes, etc.) sont concernés ? J’espère qu’on va les voir bientôt nettoyés de leurs hordes de cookies

votre avatar

Intéressante décision à double titre:




  • effectivement la défense qui consiste à renvoyer au navigateur était pas bête. Il faut donc déduire de cette décision que dès la conception de l’outil, celui-ci doit intrinsèquement permettre le respect de la réglementation sur les données par lui-même, ne pouvant pas renvoyer à un outil tiers pour par exemple faire jouer le droit d’opposition.

  • le Conseil d’Etat valide le fait que l’on ne peut pas présenter comme nécessairement légitime le tracking publicitaire car il finance le service. En creux, cela doit conduire à créer des offres payantes dénuées de tracking pub (reste à voir si celles-ci ne seront pas excessives pour contourner le problème).



    Par curiosité, Marc tu sais si l’information du visiteur se faisait via le traditionnel bandeau en bas de page ou dans un endroit spécifique genre les CGU ?



    Et question plus personnelle à la communauté, est-ce que l’opération de rattachement d’un site dans google webmaster (via une balise méta dans le header) impose également le dépôt d’un cookie aux fins de pub ou autre activité de tracking pub? J’arrive pas à le savoir ?

votre avatar

vous n’avez pas remarqué du changement quand on surfe ?



Avec les sites qui tentent d’appliquer la nouvelle réglementation, on peut cliquer sur les options de maintien des cookies.

Quand c’est bien fait, on peut choisir de désactiver des grandes catégories, cookies de l’éditeur avec sous-rurbrique suivi/pub/ et j’ai oublié le reste, et idem avec les cookies tiers, avec en plus la possibilité de détailler par éditeur.

Quand c’est pas bien fait, on se retrouve tout de suite avec la liste détaillée et l’obligation de devoir cliquer sur 10000 boutons pour tout désactiver… ( me demande d’ailleurs si ya pas une entourloupe la-dessous, genre, c’est fait exprès pour décourager…. )



( enfin, c’est juste mon ressenti en tant que end-user :) )

votre avatar

Le coté pas bien fait c’est aussi peut être pour pousser l’utilisateur a pas prendre le temps de tout décocher par flemme et au final il accepte

votre avatar

Cookie Autodelete c’est bien

<img data-src=" />

votre avatar

Ils n’ont encore pas tout compris chez challenges.fr pour la conformité avec le RGPD. Non seulement ils utilisent les nouvelles astuces arnaques du moment qui consistent à:







  • Proposer en façade un bouton “j’accepte” qui dit “oui” à tout sans être informé sur rien et un autre qui permet d’accéder à la configuration fine.

  • Si par malheur on fait de vrais choix, avec des opt-out dedans, alors c’est mémorisé uniquement dans un cookie qui est expire dès le lendemain afin que les mêmes questions soient posées éternellement et que le lecteur pigeon finisse par cliquer sur le bouton “j’accepte” où il aura la paix sans avoir à faire de choix.







    Bien sûr, ce genre de pratique n’est absolument pas conforme au RGPD. Le “j’accepte” n’est pas un choix éclairé, et l’opt-out est beaucoup, beaucoup, beaucoup plus difficile que l’opt-in. Ils sont loin d’être les seuls à mettre en oeuvre ces déviations autour du RGPD et il faut espérer qu’une sanction exemplaire viendra remettre tout le monde dans le droit chemin vis à vis de ces pratiques déviantes.



    Mais, là où ils font très très fort chez Challenges c’est lors des choix proposés pour l’opt-in/ opt-out. Il n’y a aucune légende sur les boutons on/off permettant de donner son choix. On ne sait pas quelle position est “opt-out” et laquelle est “opt-in”. Mais surtout la position “off” ( “opt-out” ) est représentée en bleu pétant comme si c’était actif et la position “off” ( “opt-in” ) est représentée en gris clair, comme si c’était inactif. Là c’est à mes yeux de la tromperie et des méthodes de truant.



    Vu qu’ils ont déjà été sanctionnés pour ce genre de choses, qu’ils n’ont toujours rien compris et l’affichent clairement en faisant bien pire, je crois qu’il méritent maintenant un remontage de brettelles exemplaire, pour la conformité au RGPD.

votre avatar

C’est encore loin d’être le cas pour tous, mais je suis tombé sur plusieurs sites qui proposent comme MSI :https://fr.msi.com/



Tout est décoché par défaut, et ça c’est une bonne chose. Par contre, de mémoire, si tu fais le bouton “Nous vous conseillons d’accepter” ça active tout et ferme le panneau… Bon, on peut le rouvrir et changer à tout moment, heureusement.



J’ai vu un autre site où c’était encore mieux fait que ça, car il y avait un bouton “Refuser”.

votre avatar

Moi aussi je suis comme vous, j install adblock et je bloque tout, je fais la chasse a tous les cookies du web, je clique sur non partout je sais même pas pourquoi mais de toute façon c est le mieux a faire. J en suis fière et je le crie haut et fort et J espère que tout le monde va faire pareil afin que l ensemble du web devient payant.

Par exemple pour 10 sites web que j utilise ca ferait 3€ chacun * 10 = 30€ par mois. C est pas cher ca vaut le coup de se battre.

votre avatar

ha, on en revient au dark patterns (https://www.youtube.com/watch?v=kxkrdLI6e6M ) que quelqu’un a déjà cité dans les commentaires d’un autre article mais que je ne retrouve pas ( heureusement que j’ai gardé le lien youtube ).

votre avatar

Mark Zuckerberg annonce qu’il ferme Facebook depuis l’Europe <img data-src=" />

votre avatar

merci pour cette article.

En apparté, avec la RGPD on s rend compte maintenant de la quantité de cookie tiers que beaucoup de site utilisent

votre avatar

il te faut quand même avoir un/des cookies pour enregistrer que tu n’en veux aucun. <img data-src=" />

votre avatar

Vous ne pouvez pas accéder à cet article car un bloqueur de publicités est activé



&nbsp;Et toujours rien pour les sites qui bloquent les articles sans possibilité de choix comme Les Echos ou Der Spiegel avec une bannière ?

votre avatar

«&nbsp;Le statut des cookies publicitaires&nbsp;» Comme disent lesresponsables de Qwant : il n’est pas nécessaire de faire de la publicité ciblée avec les données personnelles des visiteurs, on peut faire de la publicité sans pistage, sans collecte de données personnelles.

votre avatar

Quand on accepte de voir une vidéo, le script de lancement est-il vicié (en ajoutant un/des cookie/s ?)?

votre avatar



Lorsqu’un site dépose un cookie, il est désigné responsable. S’il sous-traite cette tâche, «&nbsp;il en va de même&nbsp;».





Ce qui veut dire ? « Il en va de même&nbsp;» = il est désigné responsable aussi s’il sous-traite ?

Ou « il en va de même&nbsp;» = celui qui dépose est responsable, donc si c’est le sous-traitant qui dépose, c’est lui qui est responsable ?



<img data-src=" />

votre avatar

Ce que j’ai compris : lorsqu’un site dépose un cookie, il est responsable de son cookie quoi qu’il en soit. Et s’il s’agit d’un cookie-tiers (paragraphe suivant dans l’article), le site que consulte l’utilisateur est co-responsable avec le tiers en question.

votre avatar

J’ai un VPN juste faire en sorte que je n’ai pas les popups de merde RGPD et Cookies à chaque fois.&nbsp;

votre avatar

Ça c’est tout a fait autre chose. Ça n’a rien à voir avec les données personnelles et surtout , rien ne peut obliger les éditeurs à offrir leur contenu gratuitement.



C’est leur choix et ils en ont le droit. Dans ce cas, le contrat est clair “pas de contenu sans pub”.



Je suis aussi le premier à râler. Mais, sur le fond il n’y a rien à dire. Je vais juste voir ailleurs.

votre avatar

On râle beaucoup et souvent sur nos institutions, mais il faut reconnaître que certaines font bien leur boulot, la CNIL, globalement est de celles-ci.



Ça, Optical Center, comme autre exemple récent… Parallèlement, on constate une fois de plus l’incapacité du privé à se réguler comme avec Bloctel.



Mais le motto ça reste “moins de fonctionnaires”…

votre avatar







refuznik a écrit :



Vous ne pouvez pas accéder à cet article car un bloqueur de publicités est activé



 Et toujours rien pour les sites qui bloquent les articles sans possibilité de choix comme Les Echos ou Der Spiegel avec une bannière ?







C’est vrai quoi merde, ou est la loi qui oblige les sites à fournir du contenu gratuitement sans pub ?

Il faut légiférer c’est inadmissible tu paye déjà ton accès adsl !


votre avatar

Il y a aussi certains sites qui renvoient vers leurs 50 partenaires, et bien sûr si on suit le lien, on se retrouve face à un autre bandeau sur une bonne partie des sites.

Sans compter la logique opt-out, “en poursuivant votre navigation, vous acceptez tout”, ceux dont la procédure est manifestement buggée ou est artificiellement longue, …



J’espère qu’il sera rapidement clair que le cookie d’opt-out doit être sur le site principal, qui doit dans ce cas s’abstenir de charger les scripts de traçage pur, et donner un paramètre aux scripts de publicité pour désactiver le ciblage.



Même sur les sites bien conçus, le bandeau apparait systématiquement en navigation privée, ce qui n’est pas pratique. Sur ce point, à part espérer qu’il tienne compte du Do Not Track, je ne vois pas de solution.

votre avatar







Stel a écrit :



C’est vrai quoi merde, ou est la loi qui oblige les sites à fournir du contenu gratuitement sans pub ?

Il faut légiférer c’est inadmissible tu paye déjà ton accès adsl !





Je pense qu’il voulait dire qu’ils devraient laisser le choix entre de la pub non ciblée et de la pub ciblée.

Sinon effectivement c’est normal de ne pas avoir d’accès…







Cumbalero a écrit :



On râle beaucoup et souvent sur nos institutions, mais il faut reconnaître que certaines font bien leur boulot, la CNIL, globalement est de celles-ci.



Ça, Optical Center, comme autre exemple récent… Parallèlement, on constate une fois de plus l’incapacité du privé à se réguler comme avec Bloctel.



Mais le motto ça reste “moins de fonctionnaires”…





Y’a pas besoin de fonctionnaire : la main invisible régule tout, même les cookies et internet ! ;)



Le plus aberrant c’est que challenge ça doit être les premiers à critiquer la fonction publique et après ils ignorent volontairement les courriers… S’ils avaient collaboré la CNIL aurait eu besoin de moins de gens pour traiter cette demande, l’État aurait fait des économies ! ^^





une échappatoire éparpillée façon puzzle



Merci ! 😂


votre avatar

Devoir décocher est un consentement non éclairé, et non pas explicite, donc illégal.

votre avatar

Je ne vois pas en quoi l’absence de tracking empêche d’afficher des pubs ni même de percevoir de l’argent de celles-ci

&nbsp;

Logiquement les régies de devraient adapter l’affichage des pubs comme ceci :




  • Si l’utilisateur accepte le traitement de ses données : Pub ciblées

  • Sinon, pub classiques (Comme dans la presse écrite donc)

votre avatar

La CNIL devrait proposer/encourager/imposer? un message standard et intelligent du genre: “J’accepte/Je refuse - que ma navigation sur ce site soit partagée avec nos partenaires publicitaires pour nous aider à financer ce site.” au lieu de laisser les messages arnaqueurs se multiplier partout <img data-src=" />



La situation actuelle (ambiance d’arnaque) est mauvaise pour la confiance des clients <img data-src=" />


votre avatar

Un autre problème avec les sites qui renvoient vers les plateformes pour installer un cookie opt-out : c’est un cookie tierce-partie, donc si on les a bloqués ça ne fonctionne pas (certes les autres cookies ne peuvent pas être installés, mais le site peut très bien considérer qu’on n’a pas interdit le traçage par d’autres méthodes…).

votre avatar







Sigma42 a écrit :



Je ne vois pas en quoi l’absence de tracking empêche d’afficher des pubs ni même de percevoir de l’argent de celles-ci

&nbsp;

Logiquement les régies de devraient adapter l’affichage des pubs comme ceci :




  • Si l’utilisateur accepte le traitement de ses données : Pub ciblées

  • Sinon, pub classiques (Comme dans la presse écrite donc)





    Idéalement oui, néanmoins l’affichage de pub sans tracking est beaucoup moins rémunérateur de ce que j’ai pu voir. Du coup, il y a un déséquilibre économique qui, je pense, ne peut se compenser autrement que par une offre payante.


votre avatar







ProFesseur Onizuka a écrit :



La CNIL devrait proposer/encourager/imposer? un message standard et intelligent du genre: “J’accepte/Je refuse - que ma navigation sur ce site soit partagée avec nos partenaires publicitaires pour nous aider à financer ce site.” au lieu de laisser les messages arnaqueurs se multiplier partout <img data-src=" />



La situation actuelle (ambiance d’arnaque) est mauvaise pour la confiance des clients <img data-src=" />





Si je suis heureux de voir en qlq semaines une belle décision de la CJUE et une du Conseil d’Etat, en revanche je doute sincèrement de la capacité de la CNIL a porter utilement les bonnes recommandations juridiques (cf. un autre article où celle-ci explique que même s’il n’a rien été demandé à l’inscription, un site est en droit de conditionner le respect des droits de la personne concernée à la communication d’une pièce d’identité) mais encore technique (avec le fameux bandeau bidon sur les cookies par exemple), constatant par ailleurs que le RGPD a été pour l’instant surtout un prétexte utilisé par les boites pour spammer comme jamais (ambiance d’arnaque comme tu le dis) sur ce sujet.


Justice : un site ne peut se défausser sur le navigateur pour l’opposition aux cookies publicitaires

  • Le statut des cookies publicitaires 

  • Le paramétrage du navigateur pour s'opposer au dépôt des cookies

  • Cookies tiers et co-responsabilité 

Fermer