Actualité juridique

17 août 2018

RGPD : le bandeau cookies ne suffit plus !

Le traditionnel bandeau cookies ne suffit plus. Le Conseil d’Etat vient de confirmer une sanction de la Cnil contre le journal Challenges. Les éditeurs de site web doivent désormais mettre en place un système natif permettant aux internautes de s’opposer aux cookies. Explications.

Le bandeau cookies ne suffit plus

Sanction de la Cnil contre Challenges.fr

Par une délibération du 18 mai 2017, la Cnil avait prononcé une sanction pécuniaire de 25000€ contre l’éditeur du site challenges.fr pour n’avoir pas respecté ses obligations d’information sur le dépôt de cookies sur le terminal de l’utilisateur et sur le droit d’opposition alors qu’il avait été mis en demeure de le faire, et ce malgré la présence d’un bandeau cookies. Le 6 juin 2018, le Conseil d’Etat a confirmé cette sanction. Le simple paramétrage de votre navigateur pour s’opposer au dépôt de cookies ne suffit plus, et les responsables de traitement de données à caractère personnel doivent donc désormais mettre en place des solutions plus complètes pour être conformes au RGPD et à la loi Informatique et Libertés.

Obligation d’informer sur les cookies dans le bandeau cookies et la politique de confidentialité

Lors d’une mission de contrôle le 27 novembre 2014 auprès de la société Editions Croque Futur qui édite le site Challenges.fr, la Cnil avait constaté des carences quant à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de cookies. La loi Informatique et Liberté et le RGPD imposent, outre le bandeau cookies, l’information des utilisateurs sur les finalités de ces cookies et sur les moyens de s’y opposer. Ils exigent aussi que le recueil du consentement se fasse avant le dépôt de ce fichier, sauf s’il est nécessaire au fonctionnement du site ou qu’il corresponde à la fourniture du service à la demande de l’utilisateur. En revanche, selon le Conseil d’Etat, « le fait que certains  « cookies »  ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme  « strictement nécessaires à la fourniture » du service de communication en ligne. ».

Obligation de mettre en place un système permettant de s’opposer aux cookies

Le bandeau cookies et l’explication dans la politique de confidentialité concernant la désactivation des cookies via le navigateur ne suffisent plus. Le site doit proposer un système natif propre au site permettant aux internautes de s’opposer à l’implantation de cookies.

Le Conseil d’Etat a ainsi considéré que le site Challenges.fr ne permettait pas aux internautes de différencier clairement les catégories de cookies, ni de s’opposer au dépôt de ceux soumis à consentement préalable, ni de connaître les conséquences d’une opposition sur la navigation sur le site. Il a donc conclu que c’est à bon droit que « la formation restreinte de la Cnil a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de  « cookies »  et en a déduit qu’il n’avait pas été remédié au manquement à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion ». 

Interdiction de conserver les cookies au-delà de 13 mois

Enfin, la Cnil reprochait au site Challenges.fr de ne pas avoir défini ni respecté de durée de conservation des données proportionnée à la finalité du traitement, et avait en effet constaté que l’éditeur n’avait pas donné suite à sa mise en demeure de ne pas conserver les cookies au-delà de treize mois. Le Conseil d’Etat a considéré que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies  » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le  « cookie » , notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. ». En conséquence, l’éditeur d’un site doit s’assurer que ses partenaires n’émettent pas des cookies contraires à la réglementation en France. Des obligations qui dépassent de loin la simple création d’un bandeau cookies sur un site web !

RÉFÉRENCES :

Deshoulières Avocats vous conseille pour toutes vos questions en droit des données personnelles et propose des mises en conformité RGPD en 20 étapes.

Bouton Devis final