Cookies : la CNIL étend ses contrôles au-delà des éditeurs de sites

27 juillet 2016

Afin de tenir compte de la complexité et des évolutions de l’écosystème de la publicité en ligne, la CNIL engage des contrôles auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne.

Le marché de la publicité en ligne s’est profondément métamorphosé au cours des trois dernières années, passant d’un ciblage massif de population par grandes catégories sociodémographiques au ciblage individualisé. La publicité ciblée nécessite une connaissance précise des préférences, comportements et liens sociaux des internautes.

Concrètement, elle se traduit par des techniques de traçage et une exploitation toujours plus fine des données par les intermédiaires de la chaine de valeur.

Afin de donner plus de maîtrise aux internautes sur leurs données, le législateur européen a modifié les règles applicables aux « traceurs » en passant d’un principe de droit de « refus » (dit d’opposition) à un principe de consentement préalable conditionnant l’usage de ces traceurs (opt-in). Ces règles ont été transposées dans la loi « Informatique et Libertés » en 2011, et explicitées dans la recommandation de la CNIL du 5 décembre 2013.

Les principes clés

Concrètement, l’accord de l’internaute doit « se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer ». Concernant les cookies, pour être valable, l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant la finalité des cookies déposés.

Le consentement étant révocable à tout moment, un moyen simple doit être proposé aux utilisateurs pour :

  • supprimer les cookies déjà déposés ;
  • bloquer la lecture et le dépôt de nouveaux cookies.

Il est important de souligner que la loi ne conditionne pas l’affichage de publicités en tant que tel au consentement préalable des internautes. L’obligation de recueillir le consentement n’intervient que lorsque l’affichage de la publicité s’accompagne d’un traçage et/ou d’une collecte d’informations relatives à l’internaute par le site ou par un tiers.

L’accompagnement des professionnels par la CNIL

En décembre 2013, la CNIL a publié une recommandation et mis à disposition des acteurs de la publicité personnalisée plusieurs outils pratiques.

La CNIL a engagé à l’automne 2014 une série de contrôles en ligne de différents sites internet (sites de rencontre, de e-commerce, éditeurs de contenu, sites d’annonce, etc.).

Les difficultés rencontrées par les éditeurs de sites 

De nombreux éditeurs de site ont indiqué rencontrer des difficultés pour recueillir le consentement préalable des internautes avant le dépôt et la lecture de cookies pour deux raisons principales :

  • cela ferait obstacle à l’affichage de certaines publicités, entraînant une perte de revenu importante ;
  • les cookies ne proviendraient pas de leurs propres serveurs, étant liés à l’activité de tiers partenaires, sur laquelle ils ne disposeraient d’aucune maîtrise.

En conséquence, les éditeurs ne peuvent, à eux seuls, porter l’entière responsabilité de l’application des règles relatives aux traceurs considérés comme des « cookies tiers » car provenant de sociétés tierces.

La responsabilité des partenaires des éditeurs de sites

Le principe du partage de la responsabilité a été prévu par la législation européenne et réaffirmé par la CNIL « lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies » à l’occasion de sa recommandation du 5 décembre 2013.

Les données collectées par l’intermédiaire des cookies « tiers » sont en effet traitées et exploitées pour des finalités et dans des conditions que ces sociétés tierces ou partenaires définissent.

En tant que responsables du traitement, ces sociétés sont tenues de respecter la loi Informatique et Libertés, et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations. A défaut, d’un tel consentement, la collecte des données traitées par ces tiers est illicite.  

En pratique, cela signifie que la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces, en accord avec le principe de coresponsabilité prévu par la législation européenne et rappelé par la CNIL dans sa recommandation du 5 décembre 2013.

Par ailleurs, les données collectées par l’intermédiaire des traceurs peuvent faire l’objet de plusieurs traitements par les différents partenaires comme par exemple :

  • utiliser les informations collectées sur le comportement de navigation des internautes afin de constituer des profils ;
  • prendre des décisions relatives aux publicités qui seront affichées en fonction de ce profil ;
  • définir des algorithmes permettant de réaliser le profilage.

De nouveaux contrôles étendus aux partenaires des éditeurs de sites

C’est pour tenir compte de la complexité de la chaîne des acteurs impliqués dans la publicité ciblée que la CNIL a décidé d’étendre ses contrôles au-delà des seuls éditeurs de sites. La conformité ne peut en effet reposer sur ces seuls acteurs, et ce sont tant les annonceurs et les régies que les autres partenaires qui doivent collectivement se mettre en conformité pour construire des modèles de publicité ciblée pérennes, c’est-à-dire respectueux des droits des personnes. Il appartient donc à chaque acteur de s’assurer du respect de ses obligations, au besoin en collaboration avec ses partenaires.

Rappel général des obligations des partenaires et des éditeurs de site

En leur qualité de responsable du traitement, les partenaires doivent, tout comme les éditeurs, respecter les principes de la loi « Informatique et Libertés », et notamment :

  • Le principe de limitation de la durée de conservation des données au regard de la finalité des traitements (en pratique, cela signifie que la durée de vie des cookies déposés doit être limitée à 13 mois et que les données collectées par leur biais doivent être conservées pour une durée limitée).
  • Le principe selon lequel la collecte doit être loyale et donc ne concerner que des personnes pleinement informées du sort réservé à leurs données. La loi impose notamment aux partenaires responsables du traitement d’informer les internautes concernés :
    • de leur identité ;
    • de la finalité du traitement de leurs données ;
    • des destinataires ou catégories de destinataires de leurs données ;
    • des droits d’opposition, de rectification et d’accès et de la manière de les exercer de manière effective.
  • L’obligation de fournir des moyens d’exercer les droits garantis par la loi, notamment d’opposition. 

En matière de traceurs, le premier et unique point de contact de l’internaute est le site qu’il visite. Afin de ne pas noyer les internautes sous une masse d’informations relatives aux nombreux acteurs impliqués dans le traitement de leurs données, il pourrait être prévu en pratique et a minima :

  • qu’une liste actualisée à intervalles réguliers des partenaires soit mise à disposition sur le site visité pour identifier les responsables de traitements ;
  • que cette liste comporte pour chaque partenaire un lien hypertexte renvoyant à une page dédiée, expliquant en des termes clairs :
    • la nature des données utilisées et la finalité des traitements opérés ;
    • la manière d’exercer les droits, notamment d’opposition, concernant ces traitements ;
    • le cas échéant, la liste de sociétés rendues destinataires des informations.

FOCUS REGLEMENT EUROPEEN SUR LA PROTECTION DES DONNES PERSONNELLES
Lors de l’entrée en application du règlement européen relatif à la protection des données personnelles en 2018, les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en œuvre et la logique sous-jacente en cas de prise de décision automatisée. 

 Les conséquences des contrôles menés sur l’ensemble de la chaîne seront tirées par la CNIL au cours des prochains mois.

Les mots clés associés à cet article