Le Figaro est sanctionné à hauteur de 50 000 euros pour sa gestion des cookies. La CNIL lui reproche d’avoir déposé ces traceurs sans recueil du consentement de l’internaute. Une procédure initiée en 2018 et achevée... 3 ans plus tard.
Le 11 août 2018, une internaute saisissait la CNIL pour se plaindre des pratiques du Figaro et lui signaler l’installation de cookies publicitaires dès son arrivée sur le Figaro.fr, sans la moindre action de sa part.
Or, comme l’avait rappelé la CNIL à l’éditeur dans un courrier du 30 septembre 2019 révélé dans nos colonnes, « les modalités de dépôt des cookies doivent être conformes aux dispositions de l’article 82 de la loi [informatique et libertés] ».
Cet article impose en effet l’information des internautes sur la finalité de ces traceurs publicitaires outre des moyens pour s’y opposer. Impossible évidemment de respecter une telle disposition lorsque des cookies sont mitraillés dès l’arrivée sur un site.
La CNIL, depuis lors, a multiplié les contrôles sur LeFigaro.fr, lorsqu’en face, l'éditeur s’est plaint de règles non suffisamment claires.
Alors que la procédure de sanction s’engageait, il a notamment reproché à l’autorité l’absence d’envoi d’une mise en demeure (MED) préalable. Vainement puisqu’une lecture plus attentive des textes montre que cette étape n’est pas un préalable obligatoire.
Quant au caractère obscur des règles relatives aux cookies, les lamentations du Figaro n’ont pas ému. La CNIL, patiemment, lui a rappelé que « les différentes branches du manquement reproché à la société ont pour seul fondement juridique les dispositions de l’article 82 de la loi "Informatique et Libertés" dont le contenu est inchangé depuis dix ans ».
La Société du Figaro a également plaidé que la multiplication des contrôles en ligne menés par la Commission « a entravé sa capacité à se défendre efficacement ». Une « situation d’asphyxie » qui l’aurait empêché « d’assurer sa défense dans des conditions normales ».
Cette apnée procédurale n’a généré que peu d’émoi Place de Fontenoy : « les contrôles n’ont porté que sur des éléments dont la société est censée avoir la pleine connaissance et la pleine maîtrise, en l’occurrence, son site web ».
Cookies et obligation de moyens
Sur le fond, la délibération rappelle la jurisprudence du Conseil d’État sur les cookies, en particulier l’arrêt du 6 juin 2018. Le Conseil d’État a jugé « qu’au titre des obligations qui pèsent sur l'éditeur d’un site qui dépose des "cookies tiers" , figurent celle de s'assurer auprès de ses partenaires, d’une part, qu'ils n'émettent pas, par l'intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements ».
- Justice : un site ne peut se défausser sur le navigateur pour l'opposition aux cookies publicitaires
La CNIL partage cette ligne, en s’armant de sa délibération de base sur les cookies, remontant à 2013, qui soulignait déjà cette doctrine.
Dans sa délibération du jour, elle rappelle quelques évidences sur la charge de la responsabilité de ces dépôts : « pour que des opérations de lecture et/ou d’écriture d’informations puissent être effectuées par des tiers sous les noms de domaine de la société, ceci n’est en principe rendu possible que par l’inclusion par la société d’un fragment de code JavaScript sur son site permettant aux tiers de déposer ou non un cookie ».
Or, de deux choses l’une : « soit l’inclusion de ces fragments de code JavaScript dans les pages qu’elle distribue sous ses noms de domaine est effectuée à l’initiative de la société ou avec son accord, auquel cas, la société en est à l’origine ou en a pleinement connaissance, soit la société soutient qu’elle ne peut contrôler l’inclusion de ces fragments de code JavaScript dans les pages qu’elle distribue sous ses noms de domaine, auquel cas cela attesterait d’une vulnérabilité majeure du site lefigaro.fr ».
Conclusion : « dans l’un ou l’autre de ces deux cas, la société n’est pas fondée à soutenir qu’aucune responsabilité ne lui incombe en l’espèce ». À elle de contrôler et choisir ses partenaires.
Des tests sur Chrome et Firefox
La rapporteure en charge de ce dossier a de même utilement exposé que le dépôt de cookies à finalité publicitaire « dès l’arrivée de l’utilisateur sur le site lefigaro.fr et avant toute action de sa part, empêche nécessairement ce dernier d’exprimer valablement son consentement ».
Or, « la loi "Informatique et Libertés" prévoit expressément que ces opérations, sauf exception, ne peuvent avoir lieu qu’après que ce dernier a exprimé son consentement ».
Et les quelques efforts menés à bien par nos confrères n’ont pas convaincu « puisque plusieurs opérations de lecture et/ou d’écriture d’informations à finalité publicitaire ont eu lieu dans l’équipement terminal de l’utilisateur par des partenaires de la société, après qu’il a exprimé son refus et navigué vers une autre page du site lefigaro.fr, ce qui prive d’effet le refus de l’utilisateur, en violation des exigences de l’article 82 de loi "Informatique et Libertés" ».
Si la CNIL a tenu à préciser que la responsabilité qui incombe à la société est une obligation de moyens, non de résultat, elle a jugé « insuffisants » les efforts de la société, consistant en « une plateforme de gestion du consentement, un outil de veille et l’émission d’un signal de refus ».
Pour mémoire, une obligation de résultat, finalement, « empêcherait la société de recourir aux opérations de lecture et/ou d’écriture pour diffuser de la publicité sur son site », alors qu'une obligation de moyens au contraire, « implique qu’une mise en conformité puisse être atteinte par la mise en œuvre d’un ensemble d’aménagements nécessaires ».
Le Figaro avait de même tenté de combattre les constatations effectuées par la CNIL à partir du navigateur Firefox. Elle lui a opposé la faible popularité de ce logiciel parmi ses visiteurs (un peu moins de 4,5 %), assurant qu’aucun cookie n’était déposé de la sorte avec Chrome.
Malheureusement pour l’éditeur, « les services de la CNIL ont procédé à de nouvelles constatations le 1er juin 2021. La formation restreinte relève qu’à cette occasion, la délégation a constaté, tant sur le navigateur Chrome que sur le navigateur Firefox et à partir d’un historique de navigation vierge, le dépôt dans l’espace de stockage en local du navigateur d’un traceur nommé "[…]" et contenant un identifiant unique dès l’arrivée de l’utilisateur sur la page d’accueil du site lefigaro.fr et avant toute action de sa part. »
Au final, la Société du Figaro s’est vue infliger une sanction de 50 000 euros, montant à mettre en perspective : le site « compte 24,5 millions de visiteurs en moyenne par mois, pour les douze derniers mois de l’année en 2020, et a été classé, en janvier 2021, au deuxième rang des 199 sites web "fixes" (c’est-à-dire des sites dont le contenu ne varie pas en fonction des caractéristiques de la demande) les plus fréquentés ».
Elle a tenté en dernière ligne droite d’empêcher la publicité de la décision, la jugeant non nécessaire voire inutile sur le terrain pédagogique. Pour la CNIL, au contraire, « la publicité de la présente décision se justifie au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées ». Cette publicité « permettra d’alerter les utilisateurs, dans la mesure où les cookies litigieux étaient déposés à leur insu, de la nature des manquements en cause ».
Le Figaro a deux mois pour attaquer cette délibération devant le Conseil d’État.
Un deuxième volet attendu : le transfert de données hors UE
Relevons que ce dossier est encore loin d'être terminé. Cette décision ne concerne que la législation sur les cookies alors qu’un autre volet de la plainte initiale vise aussi le transfert des données vers les États-Unis. Ce second chapitre « fait actuellement l’objet de travaux d’ampleur dans le cadre de la coopération entre les autorités de protection des données européennes », écrit l’autorité dans le courrier adressé à cette internaute, que nous révélons.
Ainsi, « ce point est donc toujours en cours d’instruction compte tenu de la nécessité de traiter ces questions en étroite coordination avec nos homologues européens. ».
Commentaires (8)
#1
Quelle belle mauvaise foi!!
Franchement la CNIL aurait du les contraindre aussi de publier la condamnation sur leur site web!!
#1.1
Le Figaro déplore même, le 11 mai dernier, que les GAFA ne respectent pas la réglementation sur les cookies !
#1.2
C’est la problématique actuelle des journalistes qui n’ont que peu de contrôles sur l’éthique du journal pour qui ils travaillent. La fin justifie-t-elle les moyens ?
#2
C’est assez drôle en effet. Et le cookies n’est pas non plus supprimer quand on refuse l’installation des cookies
#3
“Figaro-ci, Figaro-là…”
Du coup, peut-on encore se fier à ce gars, gros ?
« Dans ma téci, c’est moi le rappeur,
J’suis un putain d’héros, jamais je n’ai peur,
Je lis l’Figaro, j’veux devenir un bourge,
Car ici gros, t’es capitalo, ou t’es une courge… »
…
#4
Vous avez dit sanction ? 50000 € quand le figaro a officiellement reçu près de 6,5 millions d’euros en 2019. Et ce chiffre n’est pas exhaustif.
Tout va très bien Madame la Marquise, en tout cas pour les groupes de presse qui appartiennent tous à des milliardaires et qui bénéficient d’aides colossales payées par nos impôts. Elle n’est pas belle la France ?
#5
Correctif : j’ai oublié de préciser qu’il s’agissait pour les 16,5 millions au bénéfice du Figaro “d’aides”. Sans rire.
Par ailleurs nous venons d’apprendre que le philanthrope Niel venez de faire où était en train de faire une manip financière pour retirer free de la côte. Là encore elle est pas belle la France ?
#6
La CNIL elle tape un peu sur les GAFAM, mais des que c’est français faut juste bousculer un peu les recalcitrant.
Des années de procédures et de mise en demeure, de rappels et d’attente pour condamner à une amende payable en bananes.
C’est bien. C’est juste représentatif des contre-pouvoirs de notre pays.