Base de jurisprudence

Ariane Web: Conseil d'État 412589, lecture du 6 juin 2018

Analyse n° 412589
6 juin 2018
Conseil d'État

N° 412589
Publié au recueil Lebon

Lecture du mercredi 6 juin 2018



26-07-01-01-02 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Notions- Traitement automatisé de données, fichier-

Utilisation de témoins de connexion ("cookies") répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 - Inclusion.




L'utilisation de «cookies» répondant aux caractéristiques définies au II de l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l'article 6 de cette même loi.





26-07-01-01-03 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Notions- Personne responsable du traitement-

Traitement de données consistant en l'utilisation de témoins de connexion ("cookies") répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 - 1) "Cookies" déposés par l'éditeur du site ou mis en place pour son compte par un sous-traitant - Responsable de traitement - Editeur du site - 2) a) "Cookies" déposés par des tiers - Responsables de traitement - Tiers - b) "Cookies" déposés par des tiers autorisés par l'éditeur du site - Responsables de traitement - Tiers et éditeur du site - Obligations pesant sur l'éditeur du site.




L'utilisation de «cookies» répondant aux caractéristiques définies au II de l'article 32 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l'article 6 de cette même loi. 1) Lorsque des «cookies» sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de cette dernière. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de «cookies» mis en place pour son compte. 2) a) Les autres tiers qui déposent des «cookies» à l'occasion de la visite du site d'un éditeur doivent être considérés comme responsables de traitement. b)Toutefois, les éditeurs de site qui autorisent le dépôt et l'utilisation de tels « cookies » par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le «cookie», notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des «cookies» qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements.





26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-

Obligations pesant sur les responsables de traitement consistant en l'utilisation de témoins de connexion ("cookies") (art. 32 de la loi du 6 janvier 1978) - 1) Portée - Obligations d'information des utilisateurs de services de communication électroniques sur la finalité de ces témoins de connexion et sur les moyens dont ils disposent pour s'y opposer ainsi que de recueil préalable de leur consentement - Exception - "Cookies" essentiels au fonctionnement technique du site - Notion - 2) Espèce - Eléments portés à la connaissance des utilisateurs d'un site ne leur permettant pas de différencier les catégories de "cookies", ni de s'opposer à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences attachées à leur éventuelle opposition.




1) Les dispositions de l'article 32 de la loi n° 78-17 du 6 janvier 1978, éclairées par les objectifs de la directive n° 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion («cookies») qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site, ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal. Elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces «cookies» et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de «cookies» sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les «cookies» qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, le fait que certains «cookies» ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme «strictement nécessaires à la fourniture» du service de communication en ligne. 2) Alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de «cookies», les éléments portés à la connaissance des utilisateurs du site «www.challenges.fr» ne leur permettaient ni de différencier clairement les catégories de «cookies» susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de «cookies» et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en oeuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion qu'elle avait constaté dans sa mise en demeure.





26-07-10-03 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés- Pouvoirs de sanction-

Obligation pour la CNIL de procéder à un nouveau contrôle afin d'apprécier l'existence de manquements à la date d'expiration du délai fixé par sa mise en demeure - Absence - Faculté d'engager une procédure disciplinaire au seul motif que la personne mise en cause n'a transmis aucun élément suffisant permettant d'apprécier si et dans quelle mesure il a été remédié aux manquements constatés dans la mise en demeure - Existence, sans qu'ait d'incidence à cet égard la circonstance qu'il ait effectivement été remédié à ces manquements.




Il résulte de l'article 45 de la loi n° 78-17 du 6 janvier 1978 que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée. Il incombe en principe à la personne mise en demeure de porter à la connaissance de la CNIL tous les éléments lui permettant d'apprécier si et dans quelle mesure il a été donné suite à ses injonctions dans le délai prévu pour ce faire. S'il est toujours loisible à la CNIL de faire usage de ses pouvoirs d'instruction, elle n'est jamais tenue de procéder à un nouveau contrôle afin d'apprécier l'existence de manquements à la date d'expiration du délai fixé par la mise en demeure. Il s'ensuit qu'une procédure disciplinaire peut être légalement engagée au seul motif qu'à cette date, la personne mise en cause n'a transmis aucun élément suffisant permettant d'apprécier si et dans quelle mesure il a été remédié aux manquements constatés. Dans une telle hypothèse, si l'instruction contradictoire de la procédure disciplinaire fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer avec la CNIL qui est posée à l'article 21 de la loi du 6 janvier 1978.


Voir aussi