Les nouvelles responsabilités des acteurs de la chaîne publicitaire en matière de cookies

La CNIL apporte des précisions sur la responsabilité des éditeurs et des acteurs de la publicité en matière de cookies et accorde un délai supplémentaire de mise en conformité s'agissant des manquements constatés en matière de cookies publicitaires et du recueil de consentement

On se souvient que le 5 décembre 2013, la CNIL a publié une recommandation relative aux cookies et autres traceurs, visés par l’article 32-II de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés » qui pose le principe de l’information préalable de l’utilisateur quant à la finalité du cookie et des moyens dont il dispose pour s’y opposer ainsi que celui du recueil du consentement préalable de cet utilisateur avant que le cookie soit déposé ou lu sur son terminal.

Dans cette recommandation, la CNIL a précisé notamment les catégories de cookies qui nécessitent une information et un consentement préalables (e.g. notamment : les cookies liés aux opérations relatives à la publicité ciblée, certains cookies de mesure d’audience, les cookies traceurs de réseaux sociaux générés par les « boutons de partage ») et indiqué les moyens de recueillir un tel consentement (e.g. le plus fréquemment, le consentement de l’utilisateur se manifeste par la poursuite de sa navigation sur le site après l’apparition d’un bandeau d’information). La CNIL a également recommandé de limiter la durée de vie des cookies à 13 mois maximum au-delà desquels le consentement de l’utilisateur devra être à nouveau recueilli. Enfin, elle a rappelé qu’il doit être proposé à l’utilisateur de supprimer les cookies déjà déposés et de bloquer la lecture et le dépôt de nouveaux cookies.

A la suite de l’adoption de sa recommandation, la CNIL a engagé une série de contrôles auprès des éditeurs et des acteurs de la publicité, à l’occasion desquels elle a constaté de nombreux manquements à ces règles.

Le bilan de ces contrôles a conduit la CNIL, lors d’une réunion en date du 9 décembre 2016, à (1.) clarifier le régime de responsabilité des éditeurs et acteurs de la chaîne publicitaire (2.) accorder un délai de mise en conformité supplémentaire à ceux qui commettent des manquements en matière de cookies publicitaires et de recueil du consentement préalable. La CNIL rendra une analyse publique détaillée sur ces sujets en janvier 2017.

1.    Un régime de responsabilité distributive entre les éditeurs et les acteurs de la chaîne publicitaire

La responsabilité de l’application des règles susvisées pèse sur tous les acteurs intervenant dans le dépôt et la lecture du cookies, à savoir les éditeurs, leurs partenaires (tels que les réseaux sociaux) mais aussi les acteurs de la publicité, à savoir les régies publicitaires et les acteurs des plateformes de Ad Exchange tels que les SSP (« Supply Side Platform ») ou les DMP (« Demand Side Platform »).

Selon le GESTE (e.g. organisation qui représente les éditeurs de contenus et de services en ligne), la CNIL a reconnu que l’éditeur ne pouvait être tenu pour seul responsable des cookies déposés sur son site et s’est dit favorable à un système de « responsabilité distributive » entre les différents acteurs intervenant sur les cookies (alors que la CNIL parlait de « coresponsabilité » dans sa recommandation de 2013), ce qui signifierait qu’ « un seul acteur verrait sa responsabilité engagée [au cas par cas] en tant que responsable du cookie  ».

En revanche, l’information préalable et le recueil du consentement relèveraient uniquement de la responsabilité de l’éditeur, qui est le seul en lien direct avec l’utilisateur. Dans un article en date du 27 juillet 2016, la CNIL a recommandé aux éditeurs de mettre à la disposition des utilisateurs une liste actualisée de leurs partenaires ayant accès aux données personnelles obtenues via les cookies posés sur leur site. Les utilisateurs doivent également, selon la CNIL, pouvoir accéder par lien hypertexte sur le site de l’éditeur à une page dédiée à chaque partenaire et contenant des informations sur la nature des données utilisées, la finalité des traitements opérés, la manière d’exercer les droits concernant ces traitements et le cas échéant, la liste des sociétés rendues destinataires desdites informations.

2.    Les parties prenantes ont jusqu’à septembre 2017 pour se mettre en conformité

Par ailleurs, la CNIL a annoncé accorder un délai de mise en conformité de 9 mois supplémentaires. En conséquence, d’ici septembre 2017, les manquements relatifs aux obligations d’information préalable et de recueil du consentement ne feront pas l’objet de contrôles ni de sanctions, qu’ils aient ou non fait l’objet d’une mise en demeure préalable de la CNIL. En revanche, les contrôles et sanctions de la CNIL pour les autres types de manquements se poursuivront. Les contrôles de la CNIL reprendront en septembre 2017.

Cette décision pourrait résulter du constat fait par les éditeurs que le recueil du consentement constitue un « obstacle à l’affichage de certaines publicités, entraînant une perte de revenu importante ».

D’ici l’automne prochain, la CNIL devra donc chercher des solutions concrètes à la mise en œuvre du recueil du consentement de l’utilisateur avant le dépôt ou la lecture d’un cookie publicitaire sur le site de l’éditeur, mais aussi de tout autre type de traceur dans un environnement applicatif mobile où l’ensemble des règles susvisées sont applicables.

Camille Bertin et Vincent Varet, Avocats au Barreau de Paris