Source :CNIL, actualités, 23 mai 2017
2 situations distinctes ont été identifiées :
L’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter des données uniquement pour son compte :
Cette hypothèse recouvre : les sites de commerces électroniques sur lesquels les régies publicitaires ou prestataires publicitaires déposent des cookies afin de procéder à du reciblage publicitaire ; les éditeurs de sites qui utilisent des outils de mesures et/ou d’analyse d’audience ; les éditeurs de site qui utilisent des cookies pour mesurer les investissements au sein des espaces publicitaires qu’ils mettent à disposition et ainsi maximiser ces emplacements, assurer leur facturation.
Lorsqu’un éditeur détermine les moyens et les finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes déposés, il doit être considéré comme le responsable de ce traitement (L. 78-17, 6 janv. 1978, art. 3). Il doit donc notamment recueillir le consentement préalable et informé des utilisateurs et leur fournir des moyens de s’opposer au dépôt de cookies concernés (art. 32, II).
Si le cookie provient du serveur d’un tiers, il peut être qualifié de sous-traitant dans la mesure où il traite des données à caractère personnel pour le compte et selon les instructions de l’éditeur (art. 35). Lorsque les cookies ne sont utilisés que dans le cadre d’une prestation de sous-traitance, un contrat liant l’éditeur et l’émetteur de cookies doit clairement interdire à ce dernier d’exploiter les données collectées par le biais des cookies pour son propre compte ou pour celui d’autres sociétés.
Les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur :
Cette hypothèse recouvre notamment : une régie publicitaire qui suit les internautes sur différents sites afin d’établir leur profil ou de les regrouper dans des segments de marché qui peuvent être utilisés/vendus à d’autres tiers ; une plateforme d’enchère en temps réel qui vend aux annonceurs le droit d’afficher une publicité sur une page web ; des tiers agissant pour le compte d’annonceurs qui enchérissent sur des espaces publicitaires et se servent des informations associées à ces espaces pour parfaire leur ciblage.
L’émetteur de cookies tiers doit ici être considéré comme responsable de ce traitement et, à ce titre, respecter l’ensemble des obligations (notamment celles de l’article 32, II). A l’inverse, les éditeurs des sites ayant permis le dépôt de cookies doivent être qualifiés de sous-traitants, agissant pour le compte et sur instruction de l’émetteur de cookies tiers. La relation entre les éditeurs de site sous-traitant et l’émetteur de cookie doit être encadrée contractuellement de manière à garantir notamment le recueil d’un consentement préalable et informé des personnes spécifique au site visité, ainsi que la mise à disposition de moyens d’opposition effectif avant tout dépôt de cookies.
Pour une grande majorité de sites internet, les deux cas précités s’appliquent simultanément. Dès lors, la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies. Dans l’éventualité où un même cookie est utilisé pour des traitements dont les responsables sont différents (à la fois l’éditeur et le tiers déposant le cookie), les responsabilités sont attribuées à chacun des responsables du traitement qui doivent informer et obtenir les consentements pour les traitements dont ils sont responsables.
La CNIL estime que, dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes.
Dans le 2e cas et dans la mesure où l’éditeur doit adresser aux internautes l’information relative au traitement réalisé par un tiers, seul ce dernier peut voir sa responsabilité engagée si cette information est incomplète ou erronée.
Par ailleurs, le 10 janvier 2017, la Commission européenne a publié un projet de règlement européen relatif à la vie privée dans les communications électroniques appelé à remplacer l’actuelle Directive « vie privée et communications électroniques » (PE et Cons. UE, dir. 2002/58/ CE, 12 juill. 2002). Le cadre règlementaire applicable est donc susceptible d’évoluer dans les mois à venir, la Commission ayant annoncé son ambition d’adopter un nouvel instrument dans le courant du dernier semestre de l’année 2017, pour une entrée en application en mai 2018. La CNIL veillera à ajuster son action de mise en conformité, dans l’attente d’une stabilisation du cadre règlementaire.
La rédaction de Vivaldi Chronos