- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Toute la matière
- > Bien - Propriété
- > Citoyenneté - Nationalité - Étranger
- > Contrat et obligations - Responsabilité
- > Convention - Traité - Acte
- > Droit économique
- > Droit public
- > Environnement - Agriculture
- > Famille - Personne
- > Marché intérieur - Politique communautaire
- > Pénal
- > Principes - Généralités
- > Procédure
- > Propriété intellectuelle
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Chômage et emploi
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Retraite
- > Rupture du contrat de travail
- > Temps de travail
- Avocat
Article

Cookies et autres traceurs : des sanctions sous le signe de la continuité
Cookies et autres traceurs : des sanctions sous le signe de la continuité
Cookies et données à caractère personnel font encore partie de l’actualité ! Après quatre sanctions infligées par la CNIL en décembre 2022, le CEPD publie le 17 janvier 2023 le rapport de son groupe de travail en la matière.
par Cécile Crichtonle 15 février 2023
L’état du droit français relatif à l’utilisation de cookies et autres traceurs semble s’être stabilisé et permet aujourd’hui d’établir un état de l’art quasiment complet.
Pour rappel, les opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal d’un abonné ou d’un utilisateur de services de communications électroniques – qui seront grossièrement dénommées « cookies » – sont encadrées par l’article 5 de la directive ePrivacy (dir. 2002/58/CE, 12 juill. 2002, mod. dir. 2009/136/CE, 25 nov. 2009), transposée en droit français à l’article 82 de la loi n° 78-17 du 6 janvier 1978, dite loi « Informatique et libertés » (LIL).
L’entrée en vigueur du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) a bouleversé le régime de ces opérations dans la mesure où la définition du consentement doit être entendue comme celle de la directive 95/46/CE à laquelle l’article 4, 11) du RGPD a succédé. Afin d’accompagner les intéressés dans leur démarche de mise en conformité, la CNIL a publié le 17 septembre 2020 des lignes directrices et une recommandation (n° 2020-091 et 2020-092, Dalloz actualité, 7 oct. 2020, obs. C. Crichton ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2021. 41, obs. D. Lebeau Marianna et A. Balducci
).
Or, cette mise en conformité suscite encore du contentieux ; la CNIL ayant fait des cookies l’une de ses trois thématiques prioritaires de contrôle en 2021 (v. communiqué de presse du 2 mars 2021). Quelques sanctions exemplaires peuvent être citées : Google et Amazon le 7 décembre 2020 (délib. n° SAN-2020-012 et n° SAN-2020-013, Dalloz actualité, 17 déc. 2020, obs. C. Crichton ; Dalloz IP/IT 2021. 226, obs. E. Netter ), ou Google et Facebook le 31 décembre 2021 (délib. n° SAN-2021-023 et n° SAN-2021-024, Dalloz actualité, 17 janv. 2022, obs. I. Gavanon et V. Le Marec ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski
; Dalloz IP/IT 2022. 7, obs. C. Crichton
; ibid. 392, obs. E. Netter
; RTD com. 2022. 295, obs. E. Netter
). Le prononcé de sanctions notables perdure encore aujourd’hui. En témoigne les quatre décisions qui viennent d’être rendues par la formation restreinte de la CNIL : le 19 décembre 2022 pour le moteur de recherche Bing de Microsoft (délib. n° SAN-2022-023), ainsi que le 29 décembre 2022 pour les systèmes d’exploitation iOS et MacOs d’Apple (délib. n° SAN-2022-025), pour l’éditeur d’applications Voodoo (délib. n° SAN-2022-026), et pour l’application Tiktok (délib. n° SAN-2022-027).
Subséquemment, le Comité européen de la protection des données (CEPD), regroupant les autorités nationales de contrôle de l’Union européenne, a publié son rapport en la matière.
L’ensemble de ces éléments offre un état des lieux intéressant sur le régime des cookies et la manière dont il est appréhendé par les autorités de contrôle.
La compétence de la CNIL : éviction du RGPD au profit de la directive ePrivacy
Sans surprise, la CNIL maintient ses raisonnements pour se déclarer compétente en cas de traitement transfrontalier pour lequel le responsable de traitement n’a pas son établissement principal en France ou au sein du territoire de l’Union. Ceux-ci résultent d’une articulation astucieuse entre les dispositions du RGPD et de la directive ePrivacy.
Pour sa compétence matérielle, elle rejette le mécanisme du guichet unique prévu par le RGPD au profit des règles de compétence prévues par l’article 15 bis de la directive ePrivacy, qui laisse aux États membres le soin de désigner l’autorité compétente. En France, la formation restreinte de la CNIL est compétente pour sanctionner les opérations de traitement soumises à la LIL, selon ses articles 16 et 20, III.
Le régime des cookies étant transposé dans la LIL, la CNIL est ainsi compétente pour tous les traitements régis par la loi, ce qui par ailleurs a été validé par le Conseil d’État (CE 28 janv. 2022, n° 449209, Dalloz actualité, 9 févr. 2022, obs. C. Crichton ; Lebon ; AJDA 2022. 188
; D. 2022. 2002, obs. W. Maxwell et C. Zolynski
; Dalloz IP/IT 2022. 62, chron. C. Crichton
; ibid. 337, obs. T. Douville
; Légipresse 2022. 73 et les obs.
; RTD com. 2022. 295, obs. E. Netter
).
Cette position est en tous points reprise dans les délibérations Microsoft (pts 22 à 28), Apple (pts 36 à 62) et Tiktok (pts 25 à 32).
La décision Apple présentait quelques particularités dont les aspects techniques méritent pour tout praticien d’être lus. Nous nous contenterons de préciser que deux catégories de traceurs entrent dans le champ de l’article 82 de la LIL : un identifiant unique associé à un compte utilisateur (« DSID ») créé sur les serveurs de la société tout en communiquant avec le terminal, et des traceurs liés à la personnalisation des annonces (« DIPID » et « iADID ») stockés sur le terminal de l’utilisateur. La CNIL dissocie ces traitements des traitements « subséquents » qui sont soumis au RGPD et donc au mécanisme du guichet unique, comme elle a pu le faire par le passé (v. not. délib. Google et Facebook du 31 déc. 2021 préc., spéc. pts 53 et 54 et pts 29 à 30). Ce séquençage du traitement reste effectivement courant, notamment lorsqu’il s’agit de partager la responsabilité entre plusieurs responsables du traitement (v. not. CJUE 29 juill. 2019, aff. C-40/17, Fashion ID, D. 2019. 1604 ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny
; Dalloz IP/IT 2020. 126, obs. T. Douville
; Légipresse 2019. 448 et les obs.
; ibid. 613, obs. E. Drouard et J. Beaufour
; RTD eur. 2020. 319, obs. F. Benoît-Rohmer
).
Pour sa compétence territoriale, l’article 3, I de la LIL prévoit qu’à défaut de l’application du RGPD, la CNIL est compétente pour les opérations de traitement de données de personnes établies sur le territoire français, ce qui a également été validé par le Conseil d’État (CE 28 janv. 2022, préc.). Ces traitements doivent être effectués dans le cadre des activités d’un établissement du responsable du traitement sur le territoire français. Autant la notion d’établissement que celle d’activité...
Sur le même thème
-
Adoption de la proposition de loi encadrant l’influence commerciale, la fin des dérives ?
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 29 mai 2023
-
Panorama rapide de l’actualité « Propriété intellectuelle » Mai 2023
-
Compétence juridictionnelle et référencements sur internet
-
Licence de marques détenues en copropriété
-
Plateformes de données de santé : enjeux d’éthique, un avis du CCNE et du CNPEN à ne pas manquer
-
Pourquoi l’activation à distance des appareils connectés, un outil spécial d’enquête attendu, inquiète ?
-
La Commission européenne propose des règles s’appliquant aux brevets sur des technologies essentielles à une norme
-
Seule l’invention antérieure « de toutes pièces » détruit la nouveauté
-
[PODCAST] ChatGPT : illusions et révolutions pour le monde du droit