Un cookie est un petit fichier informatique stocké généralement sur votre navigateur Internet qui récolte des informations sur les pages que vous visitez, sur vos habitudes de connexion, etc.
Les cookies, dès lors qu’ils sont reliés au moins à votre adresse IP (ou à d’autres données qui vous sont propres), sont des données personnelles protégées par le RGPD (entré en vigueur le 25 mai 2018).
La CNIL avait, dans une décision du 18 mai 2017, condamné la société à payer une amende aux motifs qu’elle ne demandait pas aux visiteurs du site de consentement à ce que des cookies soient utilisés, et qu’elle n’expliquait pas comment le visiteur pouvait choisir les cookies à installer ou ne pas installer.
La société avait saisi le Conseil d’Etat pour contester cette décision.
Des mentions quasi-inexistantes
Premier manquement, la société ne respectait pas son obligation d’information des personnes concernées, ne leur mentionnant qu’une partie de leurs droits sans être exhaustive, et ne leur indiquant jamais qui récoltait les données, les traitait ou pourquoi.
Elle n’expliquait d’ailleurs pas aux visiteurs comment choisir les cookies utilisés sur le site, ni les conséquences que provoquerait un refus d’installer les cookies, se bornant à la manière dont les utilisateurs peuvent paramétrer leur navigateur Internet.
Une durée de conservation indéfinie
Second manquement, les cookies, comme toute donnée à caractère personnel, doivent être soumis à une durée de conservation à la fin de laquelle ils sont supprimés.
La difficulté ici était que les cookies visés étaient des cookies publicitaires, installés à partir du site, mais créés et utilisés par des sociétés tierces.
Le Conseil d’Etat, comme la CNIL, vont retenir que le propriétaire du site Internet est co-responsable du traitement de données effectué à partir des cookies même s’ils ne lui sont pas destinés.
Or, la société n’avait fait que demander aux sociétés tierces de définir et respecter une durée de conservation, sans en définir une elle-même.
Qu’est-ce que le stricte nécessaire à la fourniture du service ?
Enfin, il était reproché à la CNIL d’avoir infligé cette amende alors que les cookies, selon la société, étaient nécessaires à la fourniture du service et étaient donc une exception à l’obligation de demander le consentement des visiteurs.
Il est en effet prévu par la loi que pour tout cookie nécessaire à la fourniture du service, à savoir la connexion au site Internet et le bon fonctionnement du site (entre autres), les éditeurs ne sont pas tenus de demander le consentement des personnes à ce que les cookies soient installés.
Mais encore une fois, les cookies dans cette affaire étaient des cookies publicitaires, ne servant donc pas à se connecter ou à faire marcher le site.
La société les considérait comme nécessaires uniquement parce-que le site Internet était financé par les revenus tirés de ses cookies.
Pour le Conseil d’Etat, le simple fait que les cookies servent à financer le site ne les rend pas strictement nécessaires.
En savoir plus : Legifrance.gouv.fr