Tout internaute qui a un jour voulu supprimer les « cookies » de son navigateur internet a été confronté à une conséquence imprévue : sans cookie, la plupart des sites sont inaccessibles. En effet, certains « cookies » sont nécessaires pour la navigation internet mais l’internaute n’est aujourd’hui pas en mesure de les différencier des « cookies » publicitaires.
Ainsi, le Conseil d’Etat[1] a récemment confirmé l’amende de 25.000€ infligée par la Commission Nationale Informatique et Libertés (CNIL) à l’éditeur du site internet www.challenges.fr pour « manquement à l’obligation d’information et de mise en œuvre d’un mécanisme d’opposition »[2] lors du dépôt de « cookies » sur l’ordinateur des internautes qui consultent ce site.
En effet, la Haute Cour administrative a jugé que la seule information par l’éditeur d’un site internet des moyens de paramétrage de son navigateur pour s’opposer au dépôt de « cookies » n’est pas suffisante pour se conformer à cette obligation. Au contraire, les internautes doivent être suffisamment informés pour être en mesure de s’opposer aux « cookies » publicitaires et connaître les conséquences de leur désactivation en termes de navigation sur le site. Concrètement, cela oblige à permettre aux utilisateurs de paramétrer leurs cookies depuis le site visité.
Dans cet arrêt, le Conseil d’Etat approuve les recommandations de la CNIL[3] sur l’application de l’article 32-II de la Loi Informatique et Liberté (LIL) qui prévoient que tout internaute doit être informé de manière claire et complète par l’éditeur du site qui pose le cookie de la « finalité » de chaque « cookie » et des moyens effectifs de s’y opposer.
Or, si certains « cookies » ont une finalité publicitaire à laquelle certains internautes pourraient vouloir s’opposer (géolocalisation, profilage, boutons de réseaux sociaux, mesure d’audience, etc.), d’autres ont seulement une finalité technique permettant la navigation sur le site. La désactivation de l’ensemble des cookies sans distinction conduit donc à rendre l’accès à certains sites impossible. Face à cette situation, nul doute que l’internaute renoncera à la désactivation des « cookies » publicitaire et préfèrera accepter tous les « cookies » pour pouvoir continuer à utiliser internet.
C’est justement pour lutter contre ce type de pratiques que la Commission Européenne a rédigé la proposition de Règlement dit « E-Privacy »[4]. Celui-ci pose notamment comme principe que les cookies sont par défaut interdits sauf consentement exprès de l’internaute. Aussi, ce projet transpose le « privacy by design » du GDPR[5] aux navigateurs internet qui doivent proposer aux internautes différents niveaux d’acceptation des « cookies » alors qu’aujourd’hui les navigateurs acceptent tous les cookies par défaut.
Enfin, le non-respect de l’ensemble de ces obligations sera lourdement sanctionné au même titre que le GDPR : amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial ou 20.000.000 d’euros…
Mais la teneur du Règlement « E-Privacy » est toujours en débat. A suivre…
[1] Conseil d’Etat, 10ème et 9ème chambres réunies, 6 juin 2018, Editions Croque Futur / CNIL
[2] Article 32 II de la Loi informatique et libertés du 6 janvier 1978
[3] Délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978
[4] Proposition de Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, 10 janvier 2017
[5] Règlement Général de Protection des Données, UE 2016/679, 26 mai 2018
