Le Conseil d’État valide les lignes directrices de la CNIL en matière de cookies

Par un arrêt du 16 octobre 2019, le Conseil d’État a rejeté le recours formé contre la délibération de la CNIL valant adoption de nouvelles lignes directrices en matière de cookies qui soumet à une concertation les modalités pratiques d’expression du consentement en matière de publicité ciblée et octroie une période d’adaptation de douze mois pour s’y conformer. Il a ainsi été jugé que ces mesures permettaient un respect effectif de la réglementation applicable en matière de protection des données personnelles.

 Pour lire la décision du Conseil d’État

Une case cochée par défaut ne suffit pas à recueillir le consentement des internautes au placement de cookies

Par un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne a jugé que le consentement de l’utilisateur d’un site internet au placement de cookies publicitaires ne pouvait être valablement donné au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. La Cour a également rappelé que “les informations que le fournisseur de services [devait] donner à l’utilisateur d’un site Internet inclu[aient] la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies”.

Pour lire la décision de la Cour de justice de l’Union européenne

La CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs

Par une délibération du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies et autres traceurs. La CNIL considère désormais que le consentement au dépôt de cookies “ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement”. Elle a ainsi rappelé une déclaration du Comité Européen à la Protection des Données selon laquelle “la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (…) n'est pas conforme au RGPD”. Une recommandation fixant les modalités pratiques du recueil du consentement des internautes a été annoncée pour début 2020.

  Pour lire la délibération de la CNIL

La CNIL publie son plan d’action pour l’année 2019-2020

Par un communiqué du 28 juin 2019, la CNIL a détaillé son plan d’action pour l’année 2019-2020 et a notamment exprimé sa volonté de réformer sa politique en matière de ciblage publicitaire pour l’adapter aux nouvelles exigences du RGPD. Elle a ainsi annoncé l’abrogation de sa recommandation sur les cookies de 2013 et la publication, pour la fin de l’année, d’une “nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement”.

  Pour lire le communiqué sur le site de la CNIL

Validation par le Conseil d’Etat d’une sanction prononcée par la CNIL

Par une décision du 6 juin 2018, le Conseil d’Etat a validé la sanction pécuniaire de 25 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à son obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de cookies sur les appareils des utilisateurs. Il a en effet relevé que “les éléments portés à la connaissance des utilisateurs du site (…) ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition”.

Pour lire la décision du Conseil d’Etat

Publicité en ligne et règles relatives aux cookies

Le 23 mai 2017, la CNIL a précisé les règles à respecter en matière de publicité en ligne suite aux contrôles menés par ses services auprès de treize émetteurs de cookies tiers. Ces contrôles ont permis d’identifier deux situations : celle où l’"éditeur détermine les moyens et finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes", et celle où l’émetteur de cookies tiers les détermine, visant en pratique le cas de l’émetteur déposant des cookies sur différents sites afin d’enrichir une base qu’il exploite. La CNIL, constatant que ces deux cas de figure s’appliquent souvent simultanément, estime que "la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies", mais considère qu’il appartient dans tous les cas aux éditeurs de sites, "seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes (…) de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer". Elle rappelle toutefois que le cadre réglementaire est susceptible d’évoluer, la Commission européenne ayant annoncé un nouvel instrument pour fin 2017.

Pour lire le communiqué de la CNIL

Le contrôle de la CNIL sur la prospection commerciale

Depuis la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), la CNIL se voit confier la mission de surveillance de la bonne application de la loi, “pour ce qui concerne la prospection directe utilisant les coordonnées d’une personne physique” et, par la loi du 6 août 2004, le pouvoir de prononcer des sanctions. C’est à ce titre qu’une société de vente en ligne a été condamnée par délibération de la Commission en date du 7 juillet 2016, à une peine de 30 000 euros d’amende pour absence de moyens suffisants assurant la sécurité et la confidentialité des données personnelles des internautes ainsi que pour défaut d’information des internautes des moyens de paramétrage des cookies permettant d’accepter ou de refuser leur dépôt l’ordinateur.

Pour lire la délibération sur Legifrance

Cookies : extension du contrôle de la CNIL aux professionnels non éditeurs de sites

Par un communiqué du 27 juillet 2016, la CNIL a annoncé étendre ses contrôles relatifs aux cookies auprès des professionnels non éditeurs de sites afin de “tenir compte de la complexité de la chaîne des acteurs impliqués dans la publicité ciblée”. En effet, certains cookies sont liés à l’activité de tiers partenaires de l’éditeur du site concerné, activité sur laquelle ce dernier ne dispose d’aucune maîtrise. La CNIL a ainsi rappelé qu’en leur qualité de responsables de traitement, ces partenaires doivent respecter les principes de la loi Informatique et Libertés. A ce titre, elle a proposé que soit mise à disposition sur chaque site une liste actualisée de ces partenaires afin de permettre aux internautes d’identifier les responsables de traitement et que cette liste comporte pour chacun d’entre eux un lien renvoyant à une page dédiée qui informerait les internautes sur les collectes effectuées.

Pour lire le communiqué sur le site de la CNIL ---

Mise en demeure par la CNIL d’une société de distribution pour commentaires excessifs sur ses clients

Par une décision du 26 juin 2015, la CNIL a mis en demeure une société spécialisée dans la vente de produits électroménagers de cesser, dans un délai de trois mois, les manquements constatés aux dispositions de la Loi Informatique et Libertés. Elle a rappelé que “les données à caractère personnel collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées” et a constaté en l’espèce la présence de 5828 commentaires non pertinents. Elle a également considéré que la société avait commis un manquement à l’obligation d’informer et d’obtenir l’accord des personnes accédant au site de la société avant de déposer des cookies sur leurs équipements ainsi qu’un manquement à l’obligation de définir et respecter une durée de conservation des données enregistrées dans certains cookies.

Pour lire la décision de la CNIL

Mise en demeure de la CNIL sur l’utilisation des cookies et autres traceurs

Par un communiqué du 30 juin 2015, la CNIL a annoncé avoir mis en demeure une vingtaine d’éditeurs de sites internet de se mettre en conformité avec les règles encadrant l’utilisation des cookies et autres traceurs. En effet, la CNIL a considéré, à l’issue des contrôles récemment effectués, que “les sites internet n’informent pas suffisamment les internautes et ne recueillent pas leur consentement avant de déposer des cookies” et qu’ils“invitent souvent les internautes à paramétrer leur navigateur pour s’opposer au dépôt de cookies”, ce qui est “considéré comme un mécanisme valable d’opposition” que dans des cas limités. La CNIL précise également qu’une mise en demeure n’est pas une sanction et qu’aucune suite ne sera prononcée si les sites internet se conforment à la loi dans le délai imparti.

Pour lire le communiqué de la CNIL