Challenges.fr condamné à 25.000 euros d’amende du fait du paramétrage de ses « cookies » : préparez-vous à la diète !

Le 13 juin 2018

Suite à des contrôles opérés par la Commission Nationale de l’Informatique et des Libertés (CNIL) auprès de la société Éditions Croque Futur, éditrice du site Internet www.challenges.fr, cette dernière a été mise en demeure de se conformer aux dispositions de la Loi dite « informatique et libertés ». Faute d’y avoir pleinement déféré, une procédure de sanction a été engagée par la CNIL, menant à la condamnation de la société à une sanction pécuniaire d’un montant de 25.000 euros.

Il était notamment reproché à la société de ne pas avoir inscrit sur les formulaires permettant de créer un compte sur le site Internet www.challenges.fr, et donc de collecte de données personnelles, l’intégralité des mentions obligatoires prévues par la Loi informatique et libertés et, en conséquence, d’avoir manqué à son obligation d’information des personnes concernées par la collecte.

Il lui était également reproché de ne pas avoir mis en œuvre un mécanisme d’opposition pour les internautes en cas de dépôts sur leur terminal de cookies.

Dans une décision rendue le 6 juin 2018 (Conseil d’État, 6 juin 2018 décision n°412589) venant statuer sur la contestation de la décision de la CNIL par la société Éditions Croque Futur, le Conseil d’État a rappelé que les internautes devaient être informés, sur chaque site Internet qu’ils visitent, de la finalité des cookies utilisés et des moyens dont ils disposent pour s’y opposer.

Pour se défendre, la société avait soutenu que certains de ses cookies étaient « nécessaires à la viabilité économique du site Internet », et donc sans possibilité pour l’internaute de s’y opposer ; argument que le Conseil d’État a écarté, considérant que cela ne conduisait pas à regarder ces cookies comme « strictement nécessaires à la fourniture d’un service de communication en ligne », seule condition pour échapper à la possibilité offerte à l’internaute de s’opposer au dépôt d’un cookie.

La société avait également argué de ce qu'elle proposait aux internautes le paramétrage de leur navigateur pour s'opposer au dépôt de cookies. Or, le Conseil d’État confirme la position de la CNIL selon laquelle le paramétrage du navigateur proposé aux internautes ne constitue pas un mode valable d'opposition au dépôt de cookies, et donc à la collecte et au traitement de données personnelles.

Il appartient donc aux éditeurs de sites Internet de mettre en place un système de consentement des internautes dans le dépôt de cookies, comme la possibilité pour eux de refuser à tout moment et simplement tout ou partie des cookies sauf certains cookies spécifiques (voir en ce sens les recommandations de la CNIL : Recommandations Cookies).

Notons que cette affaire a été tranchée sous l’égide de la Loi informatique et libertés telle qu’applicable au moment des faits, en 2016.

Aujourd’hui, avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) et la réforme de la Loi informatique et libertés, un tel manquement pourrait être sanctionné d’une façon nettement plus importante, les sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires (voir notre article ici).

Département Propriété Intellectuelle – Nouvelles Technologies