La CNIL précise (encore) les règles relatives aux cookies

La législation relative aux cookies, osons le mot, empoisonne la vie des entreprises depuis des années, en raison de règles inadaptées à la navigation sur internet. En attendant une réforme à venir, la CNIL vient de préciser sa doctrine en ce qui concerne les "cookies tiers".

La CNIL vient de publier un communiqué aux termes duquel elle distingue deux cas différents concernant les "cookies tiers", c'est-à-dire les cookies qui ne sont pas émis par l'éditeur d'un site internet mais par des tiers comme, par exemple, une régie publicitaire.Dans le premier cas, l'éditeur dépose lui-même le cookie tiers sur l'ordinateur des internautes qui visitent son site ou autorise le tiers à procéder à ce dépôt et le cookie pourra être lu par l'éditeur lui-même. Ceci concerne notamment le cas des cookies destinés à établir des statistiques de fréquentation, même s'ils sont fournis par des tiers (comme Google Analytics, cas le moins rare). 

Dans cette hypothèse, la CNIL considère que l'éditeur du site est le responsable du traitement de données à caractère personnel et voit donc peser sur lui l'ensemble des obligations tirées de la Loi Informatique & Libertés. Dans le second cas, les cookies tiers sont déposés par un tiers et ne sont lus que par lui. Ceci concerne en particulier le cas d'une régie publicitaire qui va utiliser différents sites internet pour étudier la navigation des internautes et procéder ensuite à des affichages ciblés. Chacun a déjà eu le cas de ces publicités qui s'affichent sur un site après que l'on a visité un site marchand et visualisé un article dont est ensuite faite la promotion. Dans cette hypothèse, la CNIL estime que le responsable du traitement est l'émetteur du cookie. 

Les éditeurs des sites ayant permis la dépose du cookie sont, eux, des sous-traitants au sens de la Loi Informatique & Libertés. En pratique, cela n'a pas une grande incidence dans la mesure où la CNIL considère que seul l'éditeur du site internet visité est en mesure d'apporter l'information nécessaire aux internautes ainsi que de recueillir leur consentement. Selon l'autorité, "il [lui] appartient de mettre à la disposition [des internautes] une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s'y opposer".La CNIL considère néanmoins qu'en cas de manquement, seul le tiers responsable de traitement peut voir sa responsabilité engagée dans la mesure où l'information fournie serait incomplète ou erronée.

Il est à noter que, du fait de l'entrée en vigueur, au plus tard le 25 mai 2018, du nouveau Règlement européen sur la Protection des Données et de l'adoption prochaine d'une nouvelle directive "e-Privacy", il est très probable que les règles relatives aux cookies soient amenées à changer.

La navigation sur internet étant rendue difficile par les affichages systématiques de bandeaux (et le risque d'atteinte à la vie privée étant relativement faible), il se pourrait que les obligations d'information, voire de recueil de consentement, soient allégées. Mais, dans cette attente, les entreprises doivent se plier aux règles légales et à la doctrine de la CNIL.