Les faits : Par une décision du 6 juin 2018, le Conseil d’État a confirmé  la sanction pécuniaire de 25 000 euros prononcée par la Cnil à l’encontre d’un éditeur de presse en ligne pour manquements à la réglementation relative au dépôt et à l’utilisation de cookies. L’occasion de faire le point sur les principales obligations des éditeurs de sites internet dans ce domaine.

Ciblage publicitaire, consultation d’e-mails, partage de contenu sur les réseaux sociaux ou mesure d’audience, le dépôt de cookies ou traceurs sur les terminaux des internautes a lieu à chaque navigation sur Internet.  Si une grande majorité des cookies sont à visée purement technique, permettant une navigation optimale des internautes sur un site (enregistrement du panier d’achat, retour à la page précédente, paramétrage de la langue, etc.) et n’ont aucun impact en matière de protection de la vie privée, certains traceurs, s’ils sont combinés à d’autres données, permettent de profiler ou d’identifier les internautes. De nombreux éditeurs utilisent ainsi des cookies à des fins d’analyse comportementale pour proposer aux utilisateurs des publicités ciblées et des services personnalisés.

À l’heure d’un renforcement de la protection de la vie privée et des données personnelles, l’utilisation de ce type de cookies, qui n’est pas sans rappeler les traitements de données, doit ainsi respecter la réglementation édictée par la CNIL, la directive européenne « e-Privacy », mais aussi le récent RGPD. Le Conseil d’État rappelle dans sa décision que lorsqu’un internaute visite pour la première fois un site utilisant des cookies, il doit être informé, de façon claire et avant tout dépôt effectif, de la finalité de ces traceurs, des moyens de s’opposer à leur dépôt et être en mesure de donner son consentement par un acte positif qui devra être renouvelé tous les 13 mois, durée de vie maximale des cookies imposée par la CNIL.

En pratique, ces obligations se traduisent par l’apparition de bandeaux d’information renvoyant vers une page de politique cookies. Tel n’était pas pleinement le cas en l’espèce, le Conseil d’État considérant que la simple solution de paramétrage du navigateur proposée aux internautes pour s’opposer au dépôt des cookies ne leur permettait pas de différencier les différentes catégories de traceurs susceptibles d’être déposés sur leur terminal, ni les conséquences de leur opposition en termes de navigation. La CNIL, qui exclut une solution d’opposition globale, qui empêcherait l’internaute d’accéder à certains services, recommande donc la mise en place d’une solution de « tag management » personnalisée et différenciée de chaque catégorie de cookies. Le consentement préalable ne s’applique toutefois pas pour les cookies techniques strictement nécessaires au fonctionnement du site ou à la fourniture du service en ligne. Le Conseil d’État précise à ce titre que le fait que des cookies à finalité publicitaire soient indispensables à la viabilité économique du site ne peut conduire à les considérer comme strictement nécessaires à la fourniture du service et, ainsi, les exempter du recueil de consentement.


Ce qu’il faut retenir : La réglementation relative aux cookies ne doit pas être oubliée par les entreprises dans le cadre de leur mise en conformité au RGPD. Un projet de règlement encadrant les communications électroniques et visant à remplacer la directive e-privacy, est actuellement en cours de discussion à Bruxelles. Il devrait prochainement renforcer encore davantage les droits des internautes à ce sujet.