Le 27 juillet 2016, la CNIL annonçait étendre ses contrôles relatifs aux cookies (ou autre traceurs) notamment auprès des émetteurs tiers afin d’identifier les responsabilités de chacun des acteurs intervenant dans la chaîne de valeur de la publicité en ligne.
La Cnil a distingué le cas dans lequel l’éditeur du site est le seul à utiliser les données (il serait donc responsable de la conformité à la réglementation relative aux cookies), et le cas où le tiers qui déposent le cookies est le seul à utiliser les données, dans ce cas, le tiers est responsable tandis que l’éditeur du site serait sous-traitant.
Toutefois, cette distinction paraît théorique puisque la Cnil conclut que dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. Il appartient donc à l’éditeur du site d’informer et de fournir les moyens dont ils disposent pour s’y opposer, le Tiers dépositaire des cookies demeurant toutefois seul responsable si cette information n’étaient pas fournies par l’éditeur.
La Cnil reconnaît également que lorsque un même cookies est utilisé pour les traitements de données du Tiers ou de l’éditeur du site les responsabilités sont attribuées à chacun des responsables du traitement qui doivent informer et obtenir les consentements pour les traitements dont ils sont responsables.
1.L’éditeur du site utilise un cookies tiers afin de traiter des données uniquement pour son compte.
Selon la Cnil, il s’agit principalement des cookies utilisées dans les cas suivants :
- les régies publicitaires ou prestataires publicitaires déposent des cookies afin de procéder à du reciblage publicitaire (« retargeting »), qui « consiste à adresser un message publicitaire aux profils ayant visité au moins une fois le site de l’annonceur pour lequel la publicité est adressée. » ;
- Les outils de mesures et/ou d’analyse d’audience (fonctionnant avec des cookies) que ces derniers soient développés en interne ou par des tiers ;
- Les cookies pour mesurer les investissements au sein des espaces publicitaires que les Editeurs de site mettent à disposition
2. Les données collectées par les cookies tiers sont exploitées seulement par le tiers émetteur
En pratique, il s’agit de:
- Cookies d’une régie publicitaire qui suit les internautes sur différents sites afin d’établir leur profil ou de les regrouper dans des segments de marché qui peuvent être utilisés/vendus à d’autres tiers ; (ex: Google, Axciom, critéo etc.)
- Cookies de plateforme d’enchère en temps réel qui vend aux annonceurs le droit d’afficher une publicité sur une page web ; (ex: Google adsense, Rubicon etc.)
- Cookies de tiers agissant pour le compte d’annonceurs (gérant par exemple des « Demand Side Platform » ou DSP) qui enchérissent sur des espaces publicitaires et se servent des informations associées à ces espaces pour parfaire leur ciblage.
3. Commentaires: la position de la Cnil semble logique mais juridiquement incertaine
La conclusion de la Cnil est logique dans la mesure où si l’éditeur du site n’a pas le contrôle sur la techonologie utilisée et le traitement des données, il n’est pas possible, pour ce dernier, d’être seul responsable de la conformité aux règles applicable en matière de cookies. Toutefois, désigner chacune des parties respectivement responsable de traitement ou sous-traitant semble erroné pour les raisons suivantes:
- Toute d’abord, la règlementation sur les cookies, comme inscrit dans la directive européenne 2002/58 relative aux communications électroniques, ne concerne pas seulement les cookies collectant des données personnelles mais tout type de cookies. Il s’agit d’une spécificité française d’avoir transposé la règlementation sur les cookies dans la loi informatique et libertés relative aux données personnelles. Il est donc gênant de parler de responsable de traitemnet ou de sous traitant lorsque les cookies ne collectent que des données statistiques ou anonymisées ce qui est le cas de beaucoup de cookies.
- Au delà de cette distinction responsable/sous-traitant qui paraît imparfaite mais qui s’explique par le fait que la règlementation sur les cookies est insérée dans la loi informatique et libertés, il semble préférable de considérer que l’Edtieur du site agit, dans tous les cas, comme un responsable de traitement (de manière conjointe ou non). En effet, ce dernier est souvent rémunéré pour laisser un tiers déposer le cookies sur son site et ce dépôt nécessite souvent le dépôt d’un tag fourni par le tiers. Il sembe discutable, d’analyser un tel dépôt ou tout autre type d’autorisation de dépôt comme l’exécution d’une instruction plutot qu’une autorisation d’accès. L’éditeur du site demeure le seul à pouvoir décider quels types de cookies il souhaite voir installer sur son site, il en va d’ailleurs de sa réputation auprès de ses utilisateurs et il paraît discutable d’analyser ce dépôt de tag comme une l’exécution d’une instruction. En déposant le tag, l’Editeur autorise l’accès du tiers à des données qu’il était le seul à pouvoir accéder et utiliser. Il s’agit là plutôt d’un rôle de responsable de traitement et non de sous-traitant.
- Les responsabilités de chacun pourrait être partagé comme suit : L’Editeur est responsable de l’information et de recueillir le consentement, le tiers de s’assurer que les cookies sont bien déposés une fois le consentement obtenu (lorsque cela est nécessaire), de mettre en place des moyens d’oppositions adéquat et fournir les informations nécessaire à l’Editeur du site ainsi que mettre en place une durée de conservation adéquate, s’assurer de la proportionalité des données collectées à la finalité lorsqu’il s’agit de données personnelles ainsi qu’assurer la sécurité etc.
- Par ailleurs, cette position est renforcée par le fait qu’il est très rare qu’un cookies tiers servent exclusivement les intérêts du seul éditeur ou du seul tiers. Dans la plupart des cas, les informations cookies déposés par le tiers sont partagés entre les deux parties et l’éditeur peut même ajouter des données qui lui appartiennent pour enrichir le profil envoyé (souvent dans le cadre de la publicité programmatique).
Conclusion:
Malgré la position de la Cnil, il paraît prudent de considérer les deux parties comme des responsables de traitements et de s’assurer que l’information et tous les moyens de s’opposer ou de consentir sont bien fournis par le dépositaire tiers avant de le laisser déposer ces cookies sur le site de l’éditeur. Il est encore plus sûr, lorsque cela est possible, de s’assurer contractuellement que le tiers ne puissent pas identifier les utilisateurs par la suite.
En effet, en cas de violations des règles applicable, l’Editeur pourrait dégager toute responsabilité en indiquant qu’il agit comme un sous-traitant devant la commission des sanctions de la Cnil mais il n’est pas certains que cette défense fonctionne devant des juges. Avec la nouvelle réglementation européenne (GDPR), cela pourrait arriver plus souvent à l’avenir. On notera d’ailleurs que la Cnil n’a pas publié le document sous forme d’une mise à jour de la recommandation sur les cookies du 5 décembre 2013. Ces précisions ne lui sont donc pas opposables et devrait évoluer lorsque la réglementation E-privacy qui concerne les cookies sera finalisée (prévue pour mai 2018).