Cookies : le Conseil d'Etat confirme l'obligation de recueil du consentement pour les cookies publicitaires.

Par un arrêt du 6 juin 2018, le Conseil d'Etat a confirmé la sanction de l'éditeur du site internet Challenges.fr pour non respect de la législation relative aux "cookies", ces petits fichiers qui sont déposés sur le dispositif de stockage d'un terminal informatique par les sites, dont certains peuvent avoir une finalité publicitaire.

Dans cette affaire, la CNIL avait reproché à la société Croque Futur de n'avoir pas suffisamment informé les internautes quant aux cookies utilisés sur le site Challenges.fr, ni avoir recueilli leur consentement en vue de la pose et du stockage de ces fichiers.

Le Conseil d'Etat a confirmé la sanction de la CNIL en rappelant les termes de la loi (en particulier la Loi Informatique & Libertés dans sa rédaction antérieure à la loi du 20 juin 2018 intégrant le RGPD) et en particulier l'obligation, qui pèse sur les éditeurs de sites internet, d'une "information claire et complète (...) sur les témoins de connexion ("cookies") qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site".

La juridiction administrative rappelle que l'information doit porter sur les finalités des cookies et sur les moyens de s'opposer à leur stockage. En outre, l'information n'est pas suffisante, puisque le consentement des internautes doit également être obtenu, à moins que le cookie n'ait qu'une finalité technique.

De manière intéressante, le Conseil d'Etat estime que le fonctionnement du site et son modèle économique (le financement par la publicité) ne justifient pas une dérogation à ces règles : "contrairement à ce que soutient la société, le fait que certains "cookies" ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme "strictement nécessaires à la fourniture" du service de communication en ligne".

Le Conseil d'Etat valide la doctrine de la CNIL en considérant que l'information doit porter cookie par cookie et que le paramétrage du navigateur (qui permet d'accepter ou refuser les cookies) n'est pas un élément suffisant pour matérialiser le consentement des internautes, car il ne permet qu'une réponse globale et non pas au cas par cas, pour chaque fichier ou chaque finalité déterminés.

Enfin, une durée supérieure à 13 mois pour la conservation des cookies a été jugée trop longue eu égard à la finalité du traitement.

Le futur règlement ePrivacy, qui doit compléter le RGPD, devrait prévoir de nouvelles règles concernant les cookies et l'on sait que les discussions achoppent notamment sur la question du paramétrage des navigateurs. Les éditeurs de ces logiciels devraient anticiper cette question et permettre par exemple de s'opposer aux cookies publicitaires - étant précisé que certains (dont Safari) permettent déjà de s'opposer au suivi des internautes qui quittent un site (fonction "Do Not Track").

Dans cette affaire, la société éditrice du site Challenges.fr a été condamnée à une amende de 25.000 euros.