Par Annabelle Richard et Anne-Sophie Mouren, avocats au cabinet Pinsent Masons.
Avis aux professionnels du web non éditeurs : si vous utilisez des cookies, vous êtes potentiellement la nouvelle cible de la CNIL ! La CNIL a en effet annoncé au cours de l’été son intention d’élargir le champ de ses contrôles, dans le secteur de la publicité en ligne, aux professionnels non éditeurs qui emploient des cookies.
Petit rappel pour les distraits, la Loi Informatique et Libertés prévoit depuis la transposition en droit français de la directive dite "paquet télécom" en 2011, que les cookies ne peuvent être déposés sur le terminal d’un internaute sans son consentement préalable, sauf exceptions prévues par la Loi.
La Commission prend cette nouvelle initiative de contrôle étendu en réaction aux importantes évolutions du secteur de la publicité en ligne au cours de ces dernières années : son écosystème est devenu de plus en plus complexe et fait intervenir de nouveaux acteurs toujours plus nombreux (annonceurs, régies, éditeurs de sites web et autres partenaires). L’objectif de la CNIL : responsabiliser l’ensemble des acteurs de ce marché.
C’est notamment après avoir effectué des contrôles de site web en 2014 que la CNIL a pris la mesure des difficultés rencontrées par leurs éditeurs pour respecter l’obligation de recueillir le consentement préalable des utilisateurs avant le dépôt de cookies. Deux raisons à cela, d’après la CNIL :
- l’impossibilité d’afficher des publicités avant d’avoir recueilli l’accord préalable de l’internaute, entraînant de grandes pertes de revenu ;
- l’impossibilité pour ces éditeurs de contrôler l’activité de leurs partenaires qui déposent des cookies tiers sur leurs sites.
La CNIL prend soin de rappeler que la responsabilité liée au dépôt de cookies ne repose pas nécessairement que sur les éditeurs du site. En effet et conformément au principe de coresponsabilité, le non-respect du recueil du consentement des individus avant le dépôt de cookies engage aussi la responsabilité des partenaires de l’éditeur qui ont apposé leurs propres cookies sur son site.
Ce qu’il vous reste à faire ?
Si vous apposez des traceurs sur des sites internet dont vous n’êtes pas l’éditeur, il est temps de vous interroger sur la conformité de vos traitements à la Loi Informatique et Liberté. En tant que responsable de traitement de données à caractère personnel collectées à partir de ces cookies, vous devez respecter les obligations imposées par la réglementation (information, durée de conservation, etc.) et les droits des personnes concernées par ces cookies (droit d’opposition et d’accès).
En pratique, la CNIL conseille notamment aux éditeurs de site web d’afficher une liste, régulièrement mise à jour, de leurs partenaires pour permettre aux internautes d’identifier facilement les responsables de traitement. Cette liste doit contenir, pour chaque partenaire, un lien renvoyer les internautes vers une page sur laquelle sont fournies toutes les informations requises concernant le traitement de leurs données opéré grâce aux cookies des partenaires tiers (données traitées, finalité, droits des personnes concernées et destinataires des données).
Le Règlement européen qui deviendra contraignant en 2018 imposera également de nouvelles obligations aux responsables de traitement, notamment concernant les informations à fournir aux internautes. Au travail, donc !