Le 27 juillet 2016, la CNIL a publié un communiqué dans lequel elle affirme que désormais, les contrôles de conformité à la loi Informatique et Liberté seront orientés aussi bien vers les éditeurs de site en ligne que toute autre société tierce susceptible de déposer et de collecter des cookies lorsqu’un internaute utilise ou visite le site internet d’un éditeur.
Lors de leur navigation sur internet et plus particulièrement, lors de la visite d’un site internet, les déplacements et habitudes de consommation des internautes sont analysés par les éditeurs de sites, mais aussi par leurs partenaires (les réseaux sociaux, les régies publicitaires, les éditeurs de solution de mesure d’audience) pour permettre une publicité ciblée ou proposer des services personnalisés. Ce traçage est effectué par plusieurs technologies, dont la plus répandue est celle des cookies (ou traceurs).
La CNIL distingue plusieurs types de cookies, qui génèrent pour les responsables de traitement, des obligations différentes : les cookies d’analyse par exemple (qui n’ont pour seule finalité que de permettre ou faciliter la communication par voie électronique, comme le panier d’achat) ne nécessitent pas de la part du responsable du traitement, une information préalable de l’internaute lors qu’il utilise ou visite un site. Les cookies publicitaires par contre, doivent être portés à la connaissance de l’internaute.
Ainsi, pour être en conformité avec la loi, le responsable du traitement doit, avant de déposer ou de collecter un cookie publicitaire, respecter certaines obligations, sans quoi le consentement recueilli par l’internaute n’est pas valable :
- Le consentement doit être préalable ;: tant que la personne n’a pas donné son consentement, le cookie ne peut être ajouté ou lu ;
- L’information doit être complète, visible (par l’apparition d’un bandeau sur le site internet par exemple) et claire, c’est-à-dire qu’elle doit être compréhensible par tous ;
- L’internaute doit manifester une action positive d’acceptation ou de refus du dépôt ou de collecte de cookies.
La CNIL peut procéder à des contrôles de conformité et le non-respect des dispositions en vigueur peut être sanctionné par 300 000€ d’amende et 5 ans d’emprisonnement.
Depuis une recommandation de 2013, la CNIL a affirmé que tant les éditeurs de site que les sociétés tierces qui déposaient des cookies sur le site étaient responsables, en application du principe de coresponsabilité prévu par la législation européenne.
Mais en pratique, depuis 2014, la CNIL n’a contrôlé que les éditeurs de sites en ligne, mais pas par les sociétés partenaires. Les éditeurs de site se sont plaints notamment du fait qu’ils n’avaient pas toujours la maitrise des cookies déposés et lus par leur partenaires et qu’ils étaient pourtant les seuls à être contrôlés et sanctionnés par le CNIL. C’est pourquoi elle a publié un communiqué le 27 juillet dernier dans lequel elle mentionne que ses contrôles s’effectueront désormais aussi auprès des sociétés partenaires, ou tout autre responsable de traitement de données à caractère personnel au sens de la loi Informatique et Liberté en matière de cookies.
La CNIL devrait prochainement prendre des recommandations afin de préciser les modalités de ces contrôles vis à vis de sociétés partenaires des éditeurs de sites.