L’Essentiel : La CNIL a sanctionné l’éditeur de Challenges.fr d’une amende de 25 000 euros pour manquements aux obligations légales concernant l’information des utilisateurs sur les cookies. En 2014, un contrôle a révélé que le site ne respectait pas les exigences d’information claires et complètes sur l’utilisation des cookies, notamment en ce qui concerne leur finalité et les moyens d’opposition. Malgré les tentatives de mise en conformité, les utilisateurs n’étaient pas correctement informés des catégories de cookies et des conséquences de leur opposition, ce qui a conduit à la confirmation de la sanction par le Conseil d’Etat.

Sanction de 25 000 euros

La condamnation de l’éditeur du site Challenges.fr a été confirmée par le Conseil d’Etat. La CNIL avait diligenté en 2014 une mission de contrôle auprès de la société. Plusieurs manquements aux dispositions de la loi du 6 janvier 1978 avaient été constatés à 1’occasion de ce contrôle en ligne. Eu égard à la nature, à la gravité et à la persistance des manquements constatés, la formation restreinte la CNIL n’a pas infligé à l’éditeur une sanction disproportionnée en prononçant à son encontre une sanction pécuniaire d’un montant de 25 000 euros non rendue publique.

Information des visiteurs du site

En premier lieu, la société n’avait pas inscrit sur les formulaires permettant de créer un compte sur le site internet challenges.fr, l’intégralité des mentions d’information obligatoires prévues par le I de l’article 32 (alors applicable) à savoir l’identité du responsable du traitement, de la finalité poursuivie par le traitement auquel les données sont destinées, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles, à son égard, d’un défaut de réponse, des destinataires ou catégories de destinataires des données, des éventuels transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne …

Information sur l’exploitation de cookies

La société n’avait également pas respecté le II de l’article 32 de la loi du 6 janvier 1978, dans sa version applicable à la date de la mise en demeure, selon lequel tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : i) de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; ii) des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions de cookies ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions, éclairées par les objectifs de la directive du 12 juillet 2002 instituent une obligation d’information claire et complète des utilisateurs d’internet sur les témoins de connexion ( » cookies « ) qui sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu’ils visitent un site, ces témoins de connexion et les informations qu’ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l’aide du même terminal. Elles imposent, d’une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d’internet, sur la finalité de ces  » cookies  » et les moyens dont ils disposent pour s’y opposer. Elles imposent, d’autre part, le recueil de leur consentement avant tout dépôt de  » cookies  » sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les  » cookies  » qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Le fait que certains  » cookies  » ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme  » strictement nécessaires à la fourniture  » du service de communication en ligne.

Information insuffisante

La société a soutenu sans succès qu’elle s’était mise en conformité avec ces exigences dès le mois de juin 2016, en proposant aux personnes concernées le paramétrage de leur navigateur pour s’opposer au dépôt de  » cookies « . Or, les éléments portés à la connaissance des utilisateurs du site challenges.fr, ne leur permettaient ni de différencier clairement les catégories de  » cookies  » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition.

Durée de conservation des cookies

Aux termes de l’article 6 de la loi du 6 janvier 1978, un traitement ne peut porter que sur  des données à caractère personnel qui satisfont aux conditions suivantes : « v) elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». L’utilisation de  » cookies  » répond à ces caractéristiques, leur durée de conservation doit donc être fixée et portée à la connaissance des visiteurs (dans cette affaire un délai de treize mois était conseillé par la CNIL). Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de  » cookies  » mis en place pour son compte. Les autres tiers qui déposent des  » cookies  » à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement. Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels  » cookies  » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le  » cookie « , notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des  » cookies  » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Obligation de coopérer avec la CNIL

Il découle également de l’article 21 de la loi du 6 janvier 1978 une obligation de coopération, qui implique que les personnes mises en demeure par la CNIL lui communiquent, au plus tard à l’expiration du délai qui leur a été fixé, tous les éléments lui permettant d’apprécier si et dans quelle mesure il a été remédié aux manquements constatés. Dès lors que la personne contrôlée  n’a pas fourni de tels éléments dans le délai qui lui a été assigné, la formation restreinte de la CNIL est end droit de constater que le  manquement à l’obligation de coopérer est caractérisé.

Télécharger la décision

Q/R juridiques soulevées :

Quelle sanction a été infligée à l’éditeur du site Challenges.fr ?

La sanction infligée à l’éditeur du site Challenges.fr s’élève à 25 000 euros. Cette décision a été confirmée par le Conseil d’Etat, suite à une mission de contrôle diligentée par la CNIL en 2014.

Cette mission a révélé plusieurs manquements aux dispositions de la loi du 6 janvier 1978, qui régit la protection des données personnelles. La CNIL a jugé que la sanction était proportionnée, compte tenu de la nature, de la gravité et de la persistance des manquements constatés.

Il est important de noter que cette sanction n’a pas été rendue publique, ce qui soulève des questions sur la transparence des décisions prises par les autorités de régulation.

Quels manquements ont été constatés lors du contrôle de la CNIL ?

Lors du contrôle effectué par la CNIL, plusieurs manquements ont été identifiés concernant l’information des utilisateurs du site Challenges.fr. En particulier, la société n’avait pas fourni l’intégralité des mentions d’information obligatoires sur les formulaires de création de compte.

Ces mentions incluent des éléments essentiels tels que l’identité du responsable du traitement des données, la finalité du traitement, le caractère obligatoire ou facultatif des réponses, ainsi que les conséquences d’un défaut de réponse.

De plus, la société n’a pas respecté les obligations d’information concernant l’utilisation des cookies, ce qui constitue une violation des droits des utilisateurs en matière de protection des données personnelles.

Quelles sont les obligations concernant l’information sur les cookies ?

Les obligations relatives à l’information sur les cookies sont clairement définies par la loi du 6 janvier 1978. Selon l’article 32, tout utilisateur d’un service de communications électroniques doit être informé de manière claire et complète sur la finalité des cookies et des moyens dont il dispose pour s’y opposer.

Cette information doit être fournie avant tout dépôt de cookies sur le terminal de l’utilisateur. Il est également stipulé que le consentement de l’utilisateur est requis avant le dépôt de cookies, sauf pour ceux qui sont strictement nécessaires au fonctionnement du site.

Les cookies ayant une finalité publicitaire, bien qu’importants pour la viabilité économique d’un site, ne peuvent pas être considérés comme strictement nécessaires, ce qui renforce l’importance de la transparence et du consentement éclairé des utilisateurs.

Comment la société a-t-elle tenté de se conformer aux exigences ?

La société a soutenu qu’elle s’était mise en conformité avec les exigences relatives à l’information sur les cookies dès juin 2016. Elle a proposé aux utilisateurs de paramétrer leur navigateur pour s’opposer au dépôt de cookies.

Cependant, cette tentative a été jugée insuffisante par la CNIL. Les informations fournies aux utilisateurs n’étaient pas claires et ne permettaient pas de différencier les catégories de cookies.

De plus, les utilisateurs n’étaient pas informés des conséquences de leur opposition sur leur navigation sur le site, ce qui constitue une violation des obligations d’information et de consentement.

Quelles sont les règles concernant la durée de conservation des cookies ?

Selon l’article 6 de la loi du 6 janvier 1978, les données à caractère personnel, y compris les cookies, doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles ont été collectées.

Dans le cas des cookies, la CNIL recommande une durée de conservation de treize mois. Cette durée doit être clairement communiquée aux visiteurs du site.

Il est également précisé que les éditeurs de sites sont responsables des cookies déposés par des tiers, et ils doivent s’assurer que ces derniers respectent la réglementation applicable en matière de protection des données.

Quelle est l’obligation de coopération avec la CNIL ?

L’article 21 de la loi du 6 janvier 1978 impose une obligation de coopération aux personnes mises en demeure par la CNIL. Cela signifie qu’elles doivent fournir tous les éléments nécessaires pour évaluer si et comment elles ont remédié aux manquements constatés.

Si une personne contrôlée ne fournit pas ces éléments dans le délai imparti, la CNIL peut considérer qu’il y a un manquement à l’obligation de coopération.

Cette obligation vise à garantir que les autorités de régulation peuvent effectuer leur travail de manière efficace et s’assurer que les droits des utilisateurs sont respectés.