L’utilisation de cookies constitue un traitement de données

Le Conseil d’État a détaillé les obligations pesant sur les responsables du traitement de données consistant en l’utilisation de cookies.

Il était saisi d’un recours de la société Éditions Croque Futur contre une délibération de la Commission nationale de l’informatique et des libertés (CNIL) lui infligeant une sanction pécuniaire.

L’article 32 de la loi du 6 janvier 1978 institue une obligation d’information claire et complète des utilisateurs d’internet sur les témoins de connexion qui sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu’ils visitent un site. Les utilisateurs doivent être ainsi informés de la finalité de ces cookies et les moyens dont ils disposent pour s’y opposer. De plus, leur consentement doit être recueilli avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services. Mais, précise le Conseil d’État, « ne sont pas concernés par ces obligations les “cookies” qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. En revanche, le fait que certains “cookies” ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme “strictement nécessaires à la fourniture” du service de communication en ligne ». En l’espèce, « les éléments portés à la connaissance des utilisateurs du site www.challenges.fr ne leur permettaient ni de différencier clairement les catégories de “cookies” susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition », estime le Conseil d’État. Le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de cookies.

L’utilisation de cookies « constitue un traitement de données qui doit respecter les prescriptions de l’article 6 de cette même loi », poursuit la haute juridiction. Ainsi, lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de cette dernière. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de cookies mis en place pour son compte. Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement. Toutefois, ajoute le Conseil d’État, « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels “cookies” par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le “cookie”, notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation ».

Il relève enfin que, si l’instruction contradictoire de la procédure disciplinaire fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d’une sanction pour méconnaissance de l’obligation de coopérer posée par l’article 21 de la loi de 1978.