PINT Avocats Newsletter juillet 2021 : sanction de la CNIL contre LE FIGARO, sans mise en demeure préalable...
Newsletter PINT Avocats
Nouvelle sanction de la CNIL
La CNIL a prononcé une nouvelle sanction ce 27 juillet 2021, à l’encontre de la SOCIETE DU FIGARO (www.lefigaro.fr) concernant un manquement en matière de cookies :
- 50.000 euros d’amende
- Publication de la décision avec identification de la société pendant 2 ans
Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043867129
Voici les détails de la décision :
Cette sanction fait suite à une plainte d’une utilisatrice du site lefigaro.fr du 16 août 2018 en raison du dépôt de cookies sur son terminal avant toute action de sa part sur le site lefigaro.fr et sans recueil de son consentement. Cinq opérations de contrôle en ligne du site lefigaro.fr ont donc été effectuées sur une durée de 18 mois (entre janvier 2020 et juin 2021) par une délégation de la CNIL.
Taille de l’entreprise : 670 salariés, chiffre d’affaires masqué.
Tout d’abord, il convient de noter que la SOCIETE DU FIGARO n’a pas fait l’objet de mise en demeure préalable par la CNIL, ce qui a été reconnu comme valable par le Conseil d’Etat.
- Concernant les obligations de l’éditeur du site :
La CNIL a rappelé que l’éditeur du site a des responsabilités au titre du dépôt de cookies y compris par des partenaires commerciaux (cookies « tiers »), au titre d’une obligation de moyens.
Les arguments de la SOCIETE DU FIGARO concernant l’incertitude des règles applicables et concernant son absence de responsabilité en l’absence de moyens techniques permettant de maîtriser les cookies tiers ont été rejetés :
- Soit les fragments de codes Javascript ont été inclus dans ses pages à son initiative ou avec son accord donc elle en était pleinement consciente
- Soit, si les fragments ont été inclus à son insu, cela traduit une vulnérabilité majeure de son site.
- L’éditeur du site doit s’assurer que les tiers n’émettent pas de cookies non conformes via son site et doit, sinon, faire les démarches nécessaires pour faire cesser le manquement.
- Concernant les cookies litigieux
La CNIL a constaté le dépôt de cookies publicitaires soit avant toute action de l’internaute sur le site, soit malgré son refus des cookies sur une page précédente du site internet.
La CNIL a reprécisé que ces cookies, même s’ils ne sont valables que pour la durée de la session, sont soumis au consentement (c’est la finalité qui compte, pas la durée de vie).
La CNIL a retenu le manquement pour le dépôt d’un cookie, même si elle n’avait pas la preuve qu’il avait été lu (même en l’absence de preuve de l’opération de lecture, la seule opération d’écriture permet de caractériser le manquement).
La société a fait valoir qu’elle avait mis en œuvre 3 mécanismes pour être en conformité :
- Une plateforme de gestion du consentement « avant-gardiste »
- Un mécanisme de veille pour identifier les cookies tiers déposés par des partenaires en violation de la règlementation (valable uniquement pour le navigateur Chrome, or la CNIL a contrôlé à partir de Firefox)
- Un signal de refus temporaire, en l’absence de navigation ou refus des cookies
La CNIL a également relevé que LA SOCIETE LE FIGARO a contacté à plusieurs reprises par email un des tiers pour une mise en conformité, sans succès.
Or, compte tenu de ses constatations (concernant le dépôt des cookies litigieux), la CNIL en a déduit que ces moyens étaient manifestement insuffisants.
La CNIL rappelle que c’est l’éditeur du site qui choisit ses partenaires et les autorise, juridiquement et par le codage informatique du site, à déposer des cookies donc elle en est bien responsable.
La CNIL précise que lorsque l’éditeur constate un manquement d’un partenaire, il lui appartient d’envisager différents moyens pour y mettre un terme, notamment :
- Dispositions contractuelles et actions contre le partenaire (en responsabilité ou suspension du contrat jusqu’à mise en conformité)
- Stopper la collaboration commerciale avec ce partenaire (en dernier recours)
***
Pour le montant de l’amende et la publicité de la décision, la CNIL a pris en compte les éléments suivants :
- Absence de nouveauté de la règlementation (cf. décisions antérieures de la CNIL)
- Le chiffre d’affaires de la société (qui n’est pas communiqué) et avantages financiers (s’agissant de cookies publicitaires) ;
- La gravité du manquement : les utilisateurs ont été privé du choix qu’ils doivent pouvoir exprimer quant aux modalités selon lesquelles leurs données personnelles sont utilisées ;
- La durée du manquement : sur 18 mois a minima (durée des contrôles qui ont tous révélé un manquement)
- La portée du manquement : le site lefigaro.fr compte 24,5 millions de visiteurs en moyenne par mois en 2020 et est classé 2e sur les 199 sites web « fixes » les plus fréquentés en janvier 2021.
***
Cette décision est importante, notamment par sa portée assez générale.