La Cnil étend ses contrôles aux partenaires publicitaires des éditeurs de sites émettant aussi des cookies.
Dans un article publié sur son site internet le 27 juillet 2016, la Cnil rappelle les principes clés du traitement des cookies et explique les motifs de l’extension de ses contrôles aux partenaires publicitaires, des éditeurs de sites webs.
Responsabilité des éditeurs de sites webs et des partenaires publicitaires émettant des cookies
Les règles en matière de dépôt de cookies imposent au responsable de traitement de recueillir le consentement libre et révocable des utilisateurs avant tout dépôt de cookies.
Jusqu’alors, les éditeurs étaient les principaux acteurs visés par les contrôles de la Cnil lorsqu’ils affichaient une publicité accompagnée d’un traçage ou d’un dépôt de cookies.
Cependant, la Cnil soulève la difficulté des éditeurs à assumer seuls la responsabilité du respect de ces obligations. Certains cookies sont issus de serveurs tiers et sont liés à l’activité de leurs partenaires. Les éditeurs n’ont dès lors aucune maîtrise sur le respect de règles relatives à ces traceurs.
A l’occasion de sa recommandation du 5 décembre 2013, la Cnil avait déjà affirmé que l’obligation d’information et de recueil du consentement s’imposait tant aux éditeurs de sites, systèmes d’exploitation et applications, qu’aux partenaires publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesures d’audience.
A cet égard, le Règlement européen sur la protection des données à caractère personnel confirme que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » (1).
C’est à ce titre que la Cnil étend ses contrôles aux tiers et partenaires publicitaires des éditeurs de sites webs qui doivent également être considérés comme responsables de traitement. En effet, les données ne sont pas uniquement collectées et traitées pour les éditeurs de sites. Les partenaires traitent et exploitent eux-aussi ces données pour des finalités qui leur sont propres.
Les obligations des professionnels non éditeurs
Dès lors, les professionnels non éditeurs émettant des cookies doivent se conformer aux dispositions de la loi Informatique et libertés, ainsi qu’à celles du règlement européen applicables en 2018, au même titre que les éditeurs de sites.
La Cnil énonce quelques unes des obligations incombant tant aux partenaires qu’aux éditeurs webs :
- limitation de la durée de conservation des données qui ne peut excéder 13 mois pour les cookies ;
- collecte loyale des données : à cette fin, un certain nombre d’informations doivent être accessibles aux internautes, à savoir l’identité du partenaire, la finalité du traitement qu’il effectue, les destinataires ou les catégories de destinataires qui vont recevoir ces données, les droits dont les personnes concernées disposent (opposition, rectification, accès, etc.) ;
- mise en place de moyens permettant aux personnes concernées d’exercer ces droits de manière effective.
La Cnil recommande la mise en place d’un système permettant de clarifier l’existence des divers acteurs intervenant dans le traitement des données des internautes. Elle conseille ainsi la tenue d’une liste des partenaires afin que soient rassemblées et facilement accessibles les informations de ces tiers émettant des cookies. Cette liste devrait comprendre un lien propre vers une page individuelle contenant les informations devant être portées à la connaissance des internautes.
Cependant, ce futur afflux d’informations ne doit pas noyer l’internaute. Ce dernier doit pouvoir accéder de façon transparente et claire aux informations nécessaires concernant chacun des traitements effectués, quel qu’en soit l’acteur.
Virginie Bensoussan – Brulé
Lexing Contentieux numérique
(1) Règlement (UE) 2016/679 du 27-4-2016 sur la protection des données à caractère personnel, art. 26.