Publicité en ligne : la CNIL précise les règles à respecter à l’issue de ses contrôles

23 mai 2017

Le 27 juillet 2016, la CNIL annonçait étendre ses contrôles relatifs aux cookies (ou autre traceurs) au-delà des éditeurs de sites, notamment auprès des émetteurs tiers. Il s’agissait d’identifier les responsabilités de chacun des acteurs intervenant dans la chaîne de valeur, complexe, de la publicité en ligne.

Les contrôles menés par les services de la CNIL auprès de treize émetteurs de cookies tiers établis en France et aux États-Unis ont permis d’identifier deux situations distinctes :

CAS N°1 : L’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter des données uniquement pour son compte

Lorsqu’un éditeur détermine les moyens et les finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes déposés, il doit être considéré comme le responsable de ce traitement (article 3 de la loi). Il doit donc assumer l’ensemble des obligations découlant de la loi et notamment son article 32-II (recueil du consentement préalable et informé, fourniture des moyens de s’opposer au dépôt des cookies concernés).

Si le cookie utilisé provient du serveur d’un tiers, ce dernier peut être qualifié de sous-traitant, car il traite « des données à caractère personnel pour le compte» et selon les instructions de l’éditeur (article 35 de la loi). Lorsque les cookies ne sont utilisés que dans le cadre d’une prestation de sous-traitance, un contrat liant l’éditeur et l’émetteur de cookies doit clairement interdire à ce dernier d’exploiter les données collectées par le biais des cookies pour son propre compte ou pour celui d’autres sociétés.

Cette hypothèse recouvre notamment les cas de figure suivants :

  • Les sites de commerce électronique sur lesquels les régies publicitaires ou prestataires publicitaires déposent des cookies afin de procéder à du reciblage publicitaire (« retargeting »), qui « consiste à adresser un message publicitaire aux profils ayant visité au moins une fois le site de l’annonceur pour lequel la publicité est adressée. » ;
  • Les éditeurs de sites qui utilisent des outils de mesures et/ou d’analyse d’audience (fonctionnant avec des cookies) que ces derniers soient développés en interne ou par des tiers ;
  • Les éditeurs de site qui utilisent des cookies pour mesurer les investissements au sein des espaces publicitaires qu’ils mettent à disposition et ainsi maximiser ces emplacements, assurer leur facturation, etc.

CAS N°2 : Les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur

La situation est ici inversée : l’éditeur du site ne définit pas les modalités et objectifs d’exploitation des données collectées par les cookies, mais se limite à appeler les tiers « directs » qui vont déposer des cookies sur le terminal de l’internaute visitant son site. Ces tiers « directs » sont susceptibles par la suite d’appeler d’autres tiers avec lesquels l’éditeur n’a aucun lien direct.

L’émetteur de cookies tiers décide de la finalité du traitement des données collectées, que ces données soient exploitées pour son propre compte ou pour vendre des services d’analyse ou de profilage auprès de clients et partenaires.

En pratique, cette situation vise l’émetteur de cookies tiers déposant des cookies sur différents sites, non pas pour le seul compte de chaque éditeur des sites en question, mais pour enrichir une base qu’il exploite, notamment avec des données de navigation.

Il peut s’agir par exemple :

  • D’une régie publicitaire qui suit les internautes sur différents sites afin  d’établir leur profil ou de les regrouper dans des segments de marché qui peuvent être utilisés/vendus à d’autres tiers ;
  • D’une plateforme d’enchère en temps réel qui vend aux annonceurs le droit d’afficher une publicité sur une page web ;
  • De tiers agissant pour le compte d’annonceurs (gérant par exemple des « Demand Side Platform » ou DSP) qui enchérissent sur des espaces publicitaires et se servent des informations associées à ces espaces pour parfaire leur ciblage. En effet, à cette occasion, certains de ces acteurs récupèrent des informations de navigation liées au cookie sur lequel ils ont enchéri, sans pour autant restituer ces informations à l’annonceur pour le compte duquel ils ont agi.

L’émetteur de cookies tiers doit ici être considéré comme responsable de ce traitement et, à ce titre, respecter l’ensemble des obligations prévues par la loi et notamment  son article 32-II.

A l’inverse, les éditeurs des sites ayant permis le dépôt de cookies doivent être qualifiés de sous-traitants, agissant pour le compte et sur instruction de l’émetteur de cookies tiers. La relation entre les éditeurs de site sous-traitant et l’émetteur de cookie doit être encadrée contractuellement de manière à garantir notamment le recueil d’un consentement préalable et informé des personnes spécifique au site visité, ainsi que la mise à disposition de moyens d’opposition effectif avant tout dépôt de cookies.

Conclusions :

Pour une grande majorité de sites internet, les deux cas précités s’appliquent simultanément. Dès lors, la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies. Dans l’éventualité où un même cookie est utilisé pour des traitements dont les responsables sont différents (à la fois l’éditeur et le tiers déposant le cookie), les responsabilités sont attribuées à chacun des responsables du traitement qui doivent informer et obtenir les consentements pour les traitements dont ils sont responsables.  

La CNIL estime que, dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. En pratique, qu’ils soient responsable de traitement (cas numéro 1) ou sous-traitant (cas numéro 2) il leur appartient donc de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer. Toutefois, dans le cas numéro 2 et dans la mesure où l’éditeur doit adresser aux internautes l’information relative au traitement réalisé par un tiers, seul ce dernier peut voir sa responsabilité engagée si cette information est incomplète ou erronée.

A noter :

Le 10 janvier 2017, la Commission européenne a publié un projet de règlement européen relatif à la vie privée dans les communications électroniques appelé à remplacer l’actuelle Directive 2002/58/ CE du 12 juillet 2002  « vie privée et communications électroniques ». Cette directive est l’instrument européen encadrant le recours à des cookies et autres traceurs, dont l’article 32.II de la loi Informatique et Libertés est la transposition. Le cadre règlementaire applicable est donc susceptible d’évoluer dans les mois à venir, la Commission ayant annoncé son ambition d’adopter un nouvel instrument dans le courant du dernier semestre de l’année 2017, pour une entrée en application en mai 2018. Particulièrement attentive à l’évolution du projet de règlement ePrivacy, la CNIL veillera à ajuster son action de mise en conformité, dans l’attente d’une stabilisation du cadre règlementaire

Les mots clés associés à cet article