Cookie : l'éditeur de site ne sera plus seul face à ses responsabilités

La CNIL dans sa nouvelle recommandation sur les cookies énonce deux principes susceptibles d'impacter le recours à certaines technologies pour lutter contre la fraude et de fragiliser la réparation des victimes.

La CNIL , dans une recommandation du 5/12/2013, relative aux cookies et autres traceurs, adapte sa position à la multiplication des technologies utilisées mais aussi à la diversité des acteurs intervenant dans la lecture et le dépôt des cookies.
Les éditeurs de site Internet, d’application mobile, de logiciels, de courrier électronique, de consoles de jeux et de TV connectées à Internet se réjouiront de la clarification apportée par la CNIL à leurs  obligations et de la simplification de leurs modalités d’exécution.
La CNIL clarifie le champ d’application de la recommandation en prenant en compte nombres de technologies nouvelles telles que HTTP , FLASH,  PIXELS INVISIBLES, FINGERPRINTING ou « empreinte digitale du terminal ». Mais, ces cookies et autres traceurs sont concernés qu’ils collectent des données personnelles ou non, des données personnelles directes ou indirectes.
La CNIL confirme et précise notamment les principes d’obligation d’information préalable notamment sur la finalité du cookie et du consentement préalable de l’utilisateur, sauf exception. Attention, il est désormais clair que le consentement préalable ne peut  résulter de la simple acceptation des CGV ou autres documents.
Le principe d’interdiction de collecte de données sensibles sauf dans les cas énumérés, est rappelé. Quant à la durée de validité du consentement, celui-ci est fixé à 13 mois.
Autre mesure qui devrait être appréciée, la CNIL accepte l’intégration d’un « bandeau » pour intégrer l’ensemble des informations et recueillir le consentement.
La CNIL accepte en outre de considérer que la poursuite de la navigation vaut accord au dépôt de cookie. La poursuite de navigation est effective quand l’utilisateur s’est rendu sur une autre page ou quand il a cliqué sur un élément du site (image, lien, bouton, « rechercher »).
Mais, la simplification s’arrête ici et fait place à des règles majeures énoncées dans leur forme la plus minimaliste.
Dans la continuité  du  principe  d’interdiction d’exclure une personne d’un droit à l’issue de la collecte de ses données personnelles, la CNIL précise que  le refus par un utilisateur de l’installation d’un cookie ne saurait le priver d’un service.
Or, cette précision conditionne l’avenir de nombres de technologies et aurait mérité que la CNIL soit plus prolixe sur les conséquences à en tirer.
A titre d’exemple, la technologie du « FINGERPRINTING » ou « empreinte digitale » appliqué au terminal,  peut être utilisée à des fins notamment,  de lutte contre la fraude. Imposer la poursuite du service malgré le refus de l'installation du cookie ou du traceur annihile l’intérêt de cette technologie. Par ailleurs,  Il est envisageable qu’à l’issue de la lecture de ce cookie, son émetteur décide d’exclure une personne du bénéfice du service proposé en raison de la fraude détectée.
Quelles conséquences doit-on en tirer ? Cette technologie ne serait pas compatible avec la loi du 6 janvier 1978 ? Mais alors pourquoi l’avoir citée à titre d’exemple dans le champ d’application de la recommandation ?
Force est de constater un certain malaise de la CNIL face à des intérêts légitimes contraires. D’un côté, toute personne peut avoir un intérêt légitime à refuser l’installation d’un cookie pouvant porter atteinte à sa vie privée et de l’autre, tout éditeur de site ou autre peut avoir un intérêt légitime à lutter contre la fraude.
En laissant ce doute s’installer, la CNIL viserait à continuer à exercer son contrôle sur ces technologies nouvelles. En effet, à la lecture de cette recommandation, il sera fortement conseillé  à tout éditeur de site ou émetteur de cookie ayant pour finalité d’exclure potentiellement un utilisateur d’un service, de faire valider le recours à cette technologie en effectuant une demande d’autorisation auprès de la CNIL.
Est-ce une étape intermédiaire dans l’attente d’un assouplissement de la CNIL par l’adoption d’une autorisation unique ? A suivre.
Enfin, autre principe majeur énoncé sans plus de précision, celui de la coresponsabilité des acteurs et du rejet de la notion de sous-traitance.
Les acteurs  tels les régies publicitaires, les réseaux sociaux, les éditeurs de solutions de mesure d’audience etc... intervenant dans le dépôt et la lecture de cookies à côté de ces éditeurs, sont désormais coresponsables.
La CNIL prend soin également de viser les partenaires qui déterminent les finalités du traitement et les moyens de ce dernier telle la détermination des algorithmes,  pour les exclure expressément du champ d’application de la sous-traitance. En conséquence, l’ensemble des obligations tenant notamment à l’information préalable, au consentement, au droit d’accès et d’opposition, au délai de conservation sans oublier les obligations liées à la sécurité des données seront à la charge tant de l’éditeur du site que de son partenaire. On perçoit déjà la lacune fondamentale qui consiste à ériger un principe sans en donner les lignes directrices.
L’ensemble de cette économie reposait jusqu’à présent sur l’unité du responsable de traitement et donc sur le recours à la notion de sous-traitance.
Désormais, la majorité des contrats, CGV ou autres actes régissant les relations contractuelles entre ces partenaires seront susceptibles de requalification.

Toute l’économie des contrats est donc à repenser

Dans cette décision de co-responsabiliser l’ensemble des acteurs  intervenant de la conception à la lecture des cookies, la CNIL semble vouloir ne plus faire supporter au seul responsable de traitement les conséquences juridiques du recours à des technologies de plus en plus intrusives. Et,tire les conséquences du constat que la maîtrise et la gestion de ces technologies échappent de plus en plus au responsable  du traitement. Toutefois, il est perceptible que les grands perdants de ce principe seront les victimes de ces technologies.
En effet, à défaut de précision,  le régime de responsabilité retenu ressortira de la liberté des parties. Le contrat sera donc déterminant pour établir avec précision les rôles et obligations de chacun des acteurs. Mais à défaut de précision vers qui la victime devra se retourner ?
Un parfum d’insécurité juridique flotte sur la réglementation des données personnelles et n’est pas prêt de se dissiper.