Peut-on déposer des cookies tout en proposant de paramétrer son navigateur pour espérer répondre au droit d’opposition de la loi de 1978 ? Non, a répondu la CNIL, suivie par le Conseil d’État dans un contentieux visant l’éditeur de Challenges.fr.
En mai 2017, la CNIL avait sanctionné les Éditions Croque Futur d’une amende de 25 000 euros. Deux ans plus tôt, l’éditeur bien nommé du site Challenges.fr avait été contrôlé par une délégation de la commission qui avait remonté plusieurs manquements dans ses filets. La commission laissait alors trois mois à la société pour rectifier le tir.
En vain. À l’expiration de ce délai, la CNIL avait adressé une lettre de relance, restée elle aussi sans suite. C’est dans ces conditions que la présidente de l’autorité décidait d’initier une procédure de sanction qui s’est achevée le 18 mai 2017 (inutile de rechercher la décision, la commission ne l’a pas rendue publique).
L’éditeur avait cependant contre-attaqué devant le Conseil d’État, exposant en substance que la CNIL aurait dû procéder à un nouveau contrôle pour s’assurer finalement de la conformité du traitement.
Dans son arrêt du 6 juin 2018, la haute juridiction administrative a conclu au contraire à l’absence d’irrégularité, en rappelant l’impérieux devoir de collaboration des responsables de traitement (qu’on retrouve dans le RGPD). En particulier, lorsqu’une procédure disciplinaire « fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer », prévue à l’article 21 de la loi du 6 janvier 1978.
En clair, une entreprise doit non seulement corriger les défaillances dans son système de traitement, mais au surplus collaborer activement avec l’autorité de contrôle dans le délai imparti. Et tant pis pour l'oublieuse si, finalement, les rustines avaient été apposées en temps et en heure.
Le statut des cookies publicitaires
Le point central de ce contentieux concerne néanmoins l’obligation d’information qui pèse sur les acteurs en ligne à l’égard des internautes, en particulier dans la gestion des cookies. À la lecture de la loi de 1978, on en distingue plusieurs types.
S’agissant des cookies déposés par l’éditeur, s’impose en principe une obligation d’information sur les finalités et les moyens dont disposent les utilisateurs pour s’y opposer. Deux exceptions sont prévues, à savoir les cookies techniques, essentiels au fonctionnement du site, et ceux qui correspondent à la fourniture d’un service à la demande expresse de l’utilisateur (voir la page dédiée du site de la CNIL).
Justement. La juridiction a balayé d’un revers de la main les arguments de Challenges.fr : « contrairement à ce que soutient la société, le fait que certains "cookies" ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme "strictement nécessaires à la fourniture" du service de communication en ligne ». Avec en creux, une belle gifle assénée à « l’intérêt légitime » derrière lequel s’abritent tant de sites aujourd’hui, pour tenter d’évincer le recueil du consentement, version RGPD.
Le paramétrage du navigateur pour s'opposer au dépôt des cookies
La société affirmait s’être conformée à la mise en demeure dès juin 2016 en demandant aux internautes de paramétrer leur navigateur pour s’opposer au dépôt de ces fameux cookies (voir la page « donnée personnelle » capturée au 16 juin 2016 sur Internet Archive).
Un peu trop simple... Selon la CNIL, cette astuce n’est pas un mode valable d’opposition. Grille de lecture validée par le Conseil d’État, avec une série d’arguments en béton :
« Les éléments portés à la connaissance des utilisateurs du site" www.challenges.fr " ne leur permettaient ni de différencier clairement les catégories de " cookies " susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition »
Bref, une échappatoire éparpillée façon puzzle.
Cookies tiers et co-responsabilité
Au passage, les juges ont remis les pendules à l’heure sur l’identité du responsable du traitement. Lorsqu’un site dépose un cookie, il est désigné responsable. S’il sous-traite cette tâche, « il en va de même ».
Et s’agissant des cookies tiers ? C’est un régime de coresponsabilité entre le tiers (une régie publicitaire par exemple) et le site qui a autorisé ce dépôt. Certes, la répartition des charges n’est pas équivalente. Si le tiers doit maitriser la finalité et la durée de conservation, le site doit à tout le moins s’assurer que les cookies émis par son intermédiaire respectent bien la réglementation en vigueur.
Ici, la société n’avait pas donné suite à la mise en demeure de la CNIL « de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois » pour ses cookies. Et pour ceux déposés par des tiers, déposés lors des visites, « il résulte de l'instruction que ses allégations selon lesquelles elle aurait effectué des démarches auprès de ses partenaires afin qu'ils respectent une durée de conservation ne sont étayées d'aucun élément ».
La requête de l’éditeur de Challenges.fr a donc été déboutée, et l’amende confirmée dans toute sa latitude.
Commentaires (30)
Du coup j’espère que ça va faire jurisprudence et être appliqué par tous les sites, car j’en voit un paquet de site qui disent “aller configurer votre navigateur”
Et du coup la quasi totalité des sites (le monde, le figaro, les échos, libération, 20minutes, etc.) sont concernés ? J’espère qu’on va les voir bientôt nettoyés de leurs hordes de cookies
Intéressante décision à double titre:
Par curiosité, Marc tu sais si l’information du visiteur se faisait via le traditionnel bandeau en bas de page ou dans un endroit spécifique genre les CGU ?
Et question plus personnelle à la communauté, est-ce que l’opération de rattachement d’un site dans google webmaster (via une balise méta dans le header) impose également le dépôt d’un cookie aux fins de pub ou autre activité de tracking pub? J’arrive pas à le savoir ?
vous n’avez pas remarqué du changement quand on surfe ?
Avec les sites qui tentent d’appliquer la nouvelle réglementation, on peut cliquer sur les options de maintien des cookies.
Quand c’est bien fait, on peut choisir de désactiver des grandes catégories, cookies de l’éditeur avec sous-rurbrique suivi/pub/ et j’ai oublié le reste, et idem avec les cookies tiers, avec en plus la possibilité de détailler par éditeur.
Quand c’est pas bien fait, on se retrouve tout de suite avec la liste détaillée et l’obligation de devoir cliquer sur 10000 boutons pour tout désactiver… ( me demande d’ailleurs si ya pas une entourloupe la-dessous, genre, c’est fait exprès pour décourager…. )
( enfin, c’est juste mon ressenti en tant que end-user :) )
Le coté pas bien fait c’est aussi peut être pour pousser l’utilisateur a pas prendre le temps de tout décocher par flemme et au final il accepte
Cookie Autodelete c’est bien
" />
Ils n’ont encore pas tout compris chez challenges.fr pour la conformité avec le RGPD. Non seulement ils utilisent les nouvelles astuces arnaques du moment qui consistent à:
Bien sûr, ce genre de pratique n’est absolument pas conforme au RGPD. Le “j’accepte” n’est pas un choix éclairé, et l’opt-out est beaucoup, beaucoup, beaucoup plus difficile que l’opt-in. Ils sont loin d’être les seuls à mettre en oeuvre ces déviations autour du RGPD et il faut espérer qu’une sanction exemplaire viendra remettre tout le monde dans le droit chemin vis à vis de ces pratiques déviantes.
Mais, là où ils font très très fort chez Challenges c’est lors des choix proposés pour l’opt-in/ opt-out. Il n’y a aucune légende sur les boutons on/off permettant de donner son choix. On ne sait pas quelle position est “opt-out” et laquelle est “opt-in”. Mais surtout la position “off” ( “opt-out” ) est représentée en bleu pétant comme si c’était actif et la position “off” ( “opt-in” ) est représentée en gris clair, comme si c’était inactif. Là c’est à mes yeux de la tromperie et des méthodes de truant.
Vu qu’ils ont déjà été sanctionnés pour ce genre de choses, qu’ils n’ont toujours rien compris et l’affichent clairement en faisant bien pire, je crois qu’il méritent maintenant un remontage de brettelles exemplaire, pour la conformité au RGPD.
C’est encore loin d’être le cas pour tous, mais je suis tombé sur plusieurs sites qui proposent comme MSI :https://fr.msi.com/
Tout est décoché par défaut, et ça c’est une bonne chose. Par contre, de mémoire, si tu fais le bouton “Nous vous conseillons d’accepter” ça active tout et ferme le panneau… Bon, on peut le rouvrir et changer à tout moment, heureusement.
J’ai vu un autre site où c’était encore mieux fait que ça, car il y avait un bouton “Refuser”.
Moi aussi je suis comme vous, j install adblock et je bloque tout, je fais la chasse a tous les cookies du web, je clique sur non partout je sais même pas pourquoi mais de toute façon c est le mieux a faire. J en suis fière et je le crie haut et fort et J espère que tout le monde va faire pareil afin que l ensemble du web devient payant.
Par exemple pour 10 sites web que j utilise ca ferait 3€ chacun * 10 = 30€ par mois. C est pas cher ca vaut le coup de se battre.
ha, on en revient au dark patterns (https://www.youtube.com/watch?v=kxkrdLI6e6M ) que quelqu’un a déjà cité dans les commentaires d’un autre article mais que je ne retrouve pas ( heureusement que j’ai gardé le lien youtube ).
Mark Zuckerberg annonce qu’il ferme Facebook depuis l’Europe
" />
merci pour cette article.
En apparté, avec la RGPD on s rend compte maintenant de la quantité de cookie tiers que beaucoup de site utilisent
il te faut quand même avoir un/des cookies pour enregistrer que tu n’en veux aucun.
" />
Vous ne pouvez pas accéder à cet article car un bloqueur de publicités est activé
Et toujours rien pour les sites qui bloquent les articles sans possibilité de choix comme Les Echos ou Der Spiegel avec une bannière ?
« Le statut des cookies publicitaires » Comme disent lesresponsables de Qwant : il n’est pas nécessaire de faire de la publicité ciblée avec les données personnelles des visiteurs, on peut faire de la publicité sans pistage, sans collecte de données personnelles.
Quand on accepte de voir une vidéo, le script de lancement est-il vicié (en ajoutant un/des cookie/s ?)?
Lorsqu’un site dépose un cookie, il est désigné responsable. S’il sous-traite cette tâche, « il en va de même ».
Ce qui veut dire ? « Il en va de même » = il est désigné responsable aussi s’il sous-traite ?
Ou « il en va de même » = celui qui dépose est responsable, donc si c’est le sous-traitant qui dépose, c’est lui qui est responsable ?
Ce que j’ai compris : lorsqu’un site dépose un cookie, il est responsable de son cookie quoi qu’il en soit. Et s’il s’agit d’un cookie-tiers (paragraphe suivant dans l’article), le site que consulte l’utilisateur est co-responsable avec le tiers en question.
J’ai un VPN juste faire en sorte que je n’ai pas les popups de merde RGPD et Cookies à chaque fois.
Ça c’est tout a fait autre chose. Ça n’a rien à voir avec les données personnelles et surtout , rien ne peut obliger les éditeurs à offrir leur contenu gratuitement.
C’est leur choix et ils en ont le droit. Dans ce cas, le contrat est clair “pas de contenu sans pub”.
Je suis aussi le premier à râler. Mais, sur le fond il n’y a rien à dire. Je vais juste voir ailleurs.
On râle beaucoup et souvent sur nos institutions, mais il faut reconnaître que certaines font bien leur boulot, la CNIL, globalement est de celles-ci.
Ça, Optical Center, comme autre exemple récent… Parallèlement, on constate une fois de plus l’incapacité du privé à se réguler comme avec Bloctel.
Mais le motto ça reste “moins de fonctionnaires”…
Il y a aussi certains sites qui renvoient vers leurs 50 partenaires, et bien sûr si on suit le lien, on se retrouve face à un autre bandeau sur une bonne partie des sites.
Sans compter la logique opt-out, “en poursuivant votre navigation, vous acceptez tout”, ceux dont la procédure est manifestement buggée ou est artificiellement longue, …
J’espère qu’il sera rapidement clair que le cookie d’opt-out doit être sur le site principal, qui doit dans ce cas s’abstenir de charger les scripts de traçage pur, et donner un paramètre aux scripts de publicité pour désactiver le ciblage.
Même sur les sites bien conçus, le bandeau apparait systématiquement en navigation privée, ce qui n’est pas pratique. Sur ce point, à part espérer qu’il tienne compte du Do Not Track, je ne vois pas de solution.
Devoir décocher est un consentement non éclairé, et non pas explicite, donc illégal.
Je ne vois pas en quoi l’absence de tracking empêche d’afficher des pubs ni même de percevoir de l’argent de celles-ci
Logiquement les régies de devraient adapter l’affichage des pubs comme ceci :
La CNIL devrait proposer/encourager/imposer? un message standard et intelligent du genre: “J’accepte/Je refuse - que ma navigation sur ce site soit partagée avec nos partenaires publicitaires pour nous aider à financer ce site.” au lieu de laisser les messages arnaqueurs se multiplier partout
" />
" />
La situation actuelle (ambiance d’arnaque) est mauvaise pour la confiance des clients
Un autre problème avec les sites qui renvoient vers les plateformes pour installer un cookie opt-out : c’est un cookie tierce-partie, donc si on les a bloqués ça ne fonctionne pas (certes les autres cookies ne peuvent pas être installés, mais le site peut très bien considérer qu’on n’a pas interdit le traçage par d’autres méthodes…).