La CNIL, le cookie et l’éditeur

Malgré la clarté du principe légal qu’il rappelle (obligation d’informer les personnes d’une collecte de données pour faire de la pub ciblée), l’arrêt du Conseil d’Etat n°412589du 6 juin 2018 “Editions Croque Futur” est largement passé inaperçu des professionnels qui collectent et qui traitent des données à caractère personnel. Sans doute parce que cet arrêt constitue un véritablement avis de tempête pour l’écosystème de la pub ciblée en ligne et l’industrie de la collecte des données de navigation web. Sans doute aussi parce que toute vérité judiciaire n’est pas bonne à rappeler à des opérateurs économiques qui persistent à ne voir dans le RGPD-GDPR qu’un simple effet de mode.

Il est bien entendu, dans les développements qui suivent, que tout ce qui concerne le ciblage / profilage des données de navigation sur les sites web s’applique à l’identique aux données personnelles collectées à partir des applications mobiles” (les Apps utilisables depuis un “smartphone”).

La décision du Conseil d’Etat du 6 juin 2018 est rendu sous le régime de la loi n°78-17 du 6 janvier 1978 “Informatique et Libertés” rectifiée par transposition de la Directive 95/46 du 24 octobre 1995.

Cet arrêt, et c’est bien son intérêt, est 100 % transposable aux règles du Règlement UE “RGPD-GDPR” n°2016/679 du 27 avril 2016 entré en application le 25 mai 2018 (2 semaines avant). Pour les professionnels qui attendent les premières décisions de sanction de la CNIL (pourquoi pas ? cela peut relever d’un choix économique), voici un aperçu de “comment” le Conseil d’Etat valide (de manière prévisible) l’application (prévisible) de la loi sur la protection des données à caractère personnel par la CNIL. Ne seront donc étonné(e)s par cet arrêt et par ses conséquences que celles et ceux qui veulent rester sourd(e)s au bruit de la vague qui monte irrémédiablement.

1 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : LES MÉTADONNÉES ?

Mais… de quelles données à caractère personnel parle-t-on ici, au juste ? Des métadonnées de navigation web ? Voila qui mérite sans doute quelques explications technico-juridiques…

Et qui sont les professionnels concernés ? D’abord la presse en ligne et les sites web de e-commerce (ça fait déjà pas mal de monde…).

Depuis 1998, date à laquelle Google a lancé son moteur de recherche, les internautes / mobinautes (ceux qui surfent sur le web à partir de leur smartphone) ne savent pas “qui” collecte leurs données de navigation sur le web, ni bien évidemment “comment”. Les internautes ignorent le plus souvent jusqu’à l’existence même des “métadonnées”, ces données techniques qui permettent la transmission de “données de contenus” (voix, images, textes, etc.) vers leur terminal. Car depuis que les communications électroniques existent, les métadonnées constituent un sujet limpide pour les ingénieurs et à l’inverse, parfaitement obscur pour les juristes (qu’est ce que c’est ? + comment ça marche ?).

Pour savoir “quel terminal” consulte “quel” contenu sur le web, il faut collecter et analyser les métadonnées des terminaux des “internautes / mobinautes avec cette idée force : dis moi “où” tu es, “quand” tu consultes le web, “quel contenu” tu regardes (au moins l’URL d’entrée des sites web), et je te dirais “qui tu es”. Pour parvenir à ce résultat, les cookies représentent un moyen technique très adapté à l’univers du web et du téléphone portable.

2 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : LA COLLECTE ET LE TRAITEMENT DES DONNÉES DE NAVIGATION WEB

Depuis les années 2000, des tas d’opérateurs savent techniquement “récupérer” des données de navigation web et les traiter. “Traiter” (article 4.2 RGPD) les données de navigation web, ça sert à proposer des moteurs de recommandation en ligne (pour, par exemple, du “matching” sur les sites de rencontre);  ça sert à faire de la publicité ciblée/personnalisée très performante; ça sert à établir des profils de consommateurs ou de professionnels selon leurs centres d’intérêt pour leur proposer des offres commerciales profilées presque “sur mesure”.

3 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : SUIVI DE COMPORTEMENT ET PROFILAGE RGPD-GDPR

Le traitement des données de navigation, en langage RGPD-GDPR, sert à faire du “suivi de comportement” (voir par exemple considérant n°24 GDPR) ou, de manière plus large encore, du “profilage” (article 4.4 GDPR) : “évaluer certains aspects [d’une] personne physique, notamment pour analyser ou prédire… le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements…“.

Le profilage n’est pas interdit, il doit seulement obligatoirement faire l’objet (i) d’une information préalable à la personne profilée et (ii) d’une mention spéciale du droit d’opposition (article 21.2 RGPD). Donc, si profilage il y a via une collecte de données opérée par un cookie, il faut en informer l’internaute / mobinaute (“clairement et séparément de toute autre information“) et lui permettre de s’y opposer “à tout moment et sans frais” (considérant n°70 RGPD-GDPR).

4 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : LA TECHNIQUE DU COOKIE

Parmi les nombreuses techniques permettant depuis 20 ans le suivi de comportement de navigation des internautes, le cookie ou “témoin de connexion” est la plus répandue.

Lors d’une connexion d’un terminal à un site web, le serveur hébergeant le site web peut très facilement envoyer au terminal qui veut afficher une page web (comme celle-ci si vous lisez ce texte en ligne) un petit fichier texte (quelques minuscules kilos octets) qui s’implante dans la mémoire du terminal via le logiciel de navigation (Chrome / Internet Explorer / Safari / Firefox / etc.). Ce petit fichier, c’est le “cookie”, le “témoin de connexion” en Molière dans le texte.

En termes plus techniques, le cookie est une suite d’informations envoyée par le “serveur HTTP” (qui héberge le site web consulté) à un “client HTTP” (le terminal qui consulte les pages web), que le cookie retourne lors de chaque interrogation du même terminal par le même serveur HTTP. Si votre terminal est “rempli” de cookies (au moins une bonne centaine ?), cela vous donne un ordre d’idée du nombre de serveurs qui récupèrent vos données indirectement personnelles,  car derrière votre terminal, vous êtes, nous sommes très, très identifiables, avec 99 % de probabilité.

PS : ne vous attachez pas trop à la seule technique du cookie. Il existe un nombre incroyable d’autres “technologies” permettant d’identifier avec 99,99 % de certitude un terminal (et donc la personne qui l’utilise) : le “pixel invisible” (ou “pixel espion“), le “(canvas) fingerprinting“, etc. Evidemment, surtout à la lecture des projets successifsdu Règlement UE “e-Privacy”, toutes ces technologies sont concernées par les lois européennes sur la protection des données personnelles, au premier rang desquelles le RGPD-GDPR.

5 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : LES DIFFÉRENTS TYPES DE COOKIES

Tous les cookies n’ont pas pour objet de “pister” l’internaute / mobinaute. Certains permettent d’améliorer la page web selon les données techniques du terminal de consultation. Ces cookies sont souvent appelés cookies (purement) “techniques”. La CNIL fait très bien la différence entre ces cookies “techniques” et les autres, dont la finalité / la fonction n’est (clairement) pas la même.

C’est quoi, un cookie “technique” ? C’est par exemple un cookie qui permet de “retenir” le choix de la langue offert sur un site web. Si je choisis le français dans mes paramétrage, le site peut retenir cette information via un cookie.

Lors d’une même consultation d’une de ses pages, un site web peut déposer plusieurs cookies sur le terminal de l’internaute. Si l’éditeur de la page web concernée fait en outre travailler des partenaires en sous traitance (cas très fréquent de modules externes en “Software as a Service” ou de “tag” en Javascript dans le code source du site web), les sous-traitants en profitent souvent alors pour déposer (aussi) leur(s) propre(s) cookie(s).

C’est ainsi que sur un site web “classique” de e-commerce ou de presse en ligne, l’internaute qui consulte une seule page peut – sans le savoir – enregistrer plus d’une dizaine de cookies, notamment par des prestataires que l’internaute ne connait pas (et dont il ne soupçonne pas même l’existence). A titre d’exemple, aujourd’hui dans l’univers de la publicité ciblée, certains annonceurs dont le “message publicitaire” s’affiche en ligne sur la page web consultée par un internaute disposent parfois aussi des moyens techniques pour  déposer un cookie qui leur soit propre ! Oui, vous avez bien lu : mêmes les annonceurs collectent parfois des datas sur ceux qui sont exposés à leur “messages publicitaire” en ligne.

6 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : LA PRATIQUE DES EDITEURS DE SITES WEB DEPUIS 2013

De manière généralisée depuis 20 ans, et malgré les termes clairs de la loi “Informatique et Libertés” du 6 janvier 1978 puis de la Directive 95/46 et de la Directive 2002/58, les éditeurs de site web déposent – sans information préalable, ni bien sûr demande de consentement – “des” cookies dans les terminaux des internautes qui visitent leur site. La CNIL en France s’en était émue et avait trouvé en 2013 un terrain d’entente avec les professionnels : le “bandeau cookie”.

Avant de s’intéresser à l’arrêt “Editions Croque Futur” (éditeur du site web www.challenges.fr), petit rappel de la Délibération CNIL n°2013-378 du 5 décembre 2013 (“recommandation sur les cookies et autres traceurs”) dont le Conseil d’Etat ne fait au final qu’une stricte application.

7 SYNTHÈSE DE LA “RECOMMANDATION COOKIES” DE LA CNIL DU 5 DÉCEMBRE 2013

Le principe retenu en 2013 est relativement simple. Les cookies “techniques” sont acceptables SANS consentement (“traitement nécessaire à…“) mais AVEC information préalable de l’internaute. A l’inverse, les cookies à vocation publicitaire sont soumis à consentement PREALABLE, c’est-à-dire AVANT utilisation du service (voir pour une illustration plus récente de ce principe les mises en demeure Teemo et Fidzup par la CNIL du 25 juin 2018 sur le fondement du RGPD-GDPR).

Que dire sur le mécanisme recommandé du “bandeau cookies” par la CNIL en 2013 et l’application qu’en ont fait les professionnels, apparemment peu effrayés par le faible niveau de sanction potentiel de l’époque (et malgré le caractère inéluctable des condamnations à venir) ? A ce titre, l’arrêt du Conseil d’Etat du 6 juin 2018 était tout à fait prévisible, pour qui veut bien faire l’adéquation entre les textes légaux et les technologies mises en œuvre.

8 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB  : LA PROCÉDURE CONTRE “EDITIONS CROQUE FUTUR”

Les Editions Croque Futur qui éditent le site web www.challenges.fr avaient fait l’objet d’un contrôle de la CNIL. Suite à des “constatations en ligne les 28 novembre 2014 et 2 juin 2015“, et après “mise en demeure” de cesser les manquements constatés sous trois mois (sans résultat apparemment), la CNIL avait décidé d’une sanction 2 ans plus tard (“délibération du 18 mai 2017“), mais avait également décidé, comme elle en a le pouvoir, de ne pas rendre publique cette décision de condamnation. Les Editions Croque Futur auraient pu payer les sanctions pécuniaires et l’affaire aurait pu s’arrêter là, mais… Comme il en avait également le droit, l’éditeur de www.challenges.fr a fait appel de la délibération de la CNIL devant le Conseil d’Etat. Et le Conseil d’Etat a tranché par décision publique, comme c’est la règle en procédure contentieuse administrative. De ce fait, la décision non publique de la CNIL du 18 mai 2017 nous est aujourd’hui partiellement connue.

Rappelons que la sanction pécuniaire imposée par la CNIL le 18 mai 2017 aux Editions Croque Futur (et confirmée par le Conseil d’Etat le 6 juin 2018) était de 25.000 €uros (on a envie de dire seulement ?). En comparaison, pour un défaut de sécurisation de son système d’information (article 343 loi n°78-17 / article 32 RGP-GDPR), Optimal Center a été condamnée à 250.000 €uros de sanctions pécuniaires le 7 mai 2018.

Quels reproches pour l’éditeur du site web www.challenges.fr ? Notamment un “manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion (“cookies”) sur le terminal des utilisateurs“.

9 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : QUELLE OBLIGATION ET SUR QUEL FONDEMENT LÉGAL ?

—> article 32 II de la loi du 6 janvier 1978” … “[éclairé] par les objectifs de la directive du 12 juillet 2002” (la Directive 2002/58 que le projet de Règlement UE “e-Privacy” en projet v3 du 4 mai 2018 doit remplacer à terme).

A ce stade, je préfère citer la décision du Conseil d’Etat (sinon, vous allez croire que j’invente !) :

[ces dispositions légales] imposent, d’une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d’internet, sur la finalité de ces “cookies” et les moyens dont ils disposent pour s’y opposer. Elles imposent, d’autre part, le recueil de leur consentement avant tout dépôt de ” cookies ” sur le terminal grâce auquel [les personnes] accèdent à ces services“.

De plus, le Conseil d’Etat confirme la “doctrine” CNIL (délibération du 5 décembre 2013) sur les cookies (purement) techniques :

Ne sont pas concernés par ces obligations [de collecte de consentement] les “cookies” qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur“.

L’arrêt “Editions Croque Futur” ne dit d’ailleurs pas autre chose sur les cookies (purement) techniques en précisant que la décision de sanction de la CNIL “ne s’est pas fondée sur un défaut de caractère préalable à tout dépôt de “cookie”du recueil du consentement de l’utilisateur ni ne fait grief [à l’éditeur du site web] de ne pas avoir bloqué des “cookies ” essentiels au fonctionnement de son site“.

S’il y a obligation de demander un consentement, un “consentement” pour la loi Informatique et Libertés d’hier comme pour le RGPD aujourd’hui, ça veut dire “oui ou non”. Et si c’est “non”, c’est effectivement “non”.

Pour répondre en pratique à cette obligation d’information, les Editions Croque Futur, comme beaucoup d’éditeurs de site web, renvoyaient les internautes au paramétrage de leur navigateur (option “aide toi, le Ciel t’aidera” pour celles et ceux qui seraient sensibles aux citations bibliques). C’est sur ce point précis que le Conseil d’Etat valide entièrement la raisonnement de la CNIL et rejette en bloc l’argumentation de l’éditeur du site www.challenges.fr :

le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de “cookies“.

Et la conséquence de ce rejet est immédiatement qualifié de “manquement à l’obligation d’information” des internautes auquel l’éditeur du site web, malgré la mise en demeure de la CNIL, n’avait pas mis un terme :

“[l’éditeur du site web] n’avait pas … remédié au manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion“.

C’est donc bien directement à l’éditeur du site web de permettre à ses lecteurs d’autoriser (ou non) la dépose de cookies : il ne suffit donc pas de botter en touche et de laisser le lecteur galérer seul, à chaque fois, pour chaque site visité, avec les paramètres de son navigateur. Pour le dire autrement, l’éditeur du site web devrait aider techniquement ses lecteurs à dire “oui ou non”, par exemple en proposant des fonctionnalités en ce sens directement sur son site.

C’est une révolte des tribunaux ? “Non Sire, c’est une révolution” (du Duc de la Rochefoucault-Liancourt à Louis XVI le 14 juillet 1789) qui s’annonce pour les éditeurs de sites web !

10 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : OUI, L’ÉDITEUR EST “RESPONSABLE DE TRAITEMENT” !

Il ne fait aucun doute dans mon esprit (ni dans celui de la CNIL, ni manifestement dans celui du Conseil d’Etat) qu’une personne qui navigue sur un site web est “client” de ce site web. En termes “Informatique et Libertés” ou “RGPD-GDPR”, cela signifie juridiquement que l’éditeur du site est bien le “responsable du traitement” (“data controller“, ce qui est plus parlant encore en Shakespeare dans le texte) des donnés personnelles qu’il collecte auprès de “ses” lecteurs.

Et bien évidemment, si un éditeur demande à sa régie publicitaire (exemple au hasard…) de poser un cookie sur le terminal de ses lecteurs, en son nom et pour son compte, cela signifie juridiquement que la régie pub agit comme “sous-traitant” (ou “data processor“) du site web, “au nom et pour le compte” du site web. “au nom et pour le compte de” ? C’est la définition même du sous-traitant dans le RGPD-GDPR (article 4.8).

11 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : PAS D’EXCEPTION POUR LA PUB EN LIGNE !

Je n’invente rien là encore. Le cookie posé par l’éditeur d’un site web (ou son sous-traitant agissant “en son nom et pour son compte”) n’est jamais SANS consentement “nécessaire à l’exécution d’un contrat” (ni “nécessaire aux intérêts légitimes” de l’éditeur responsable de traitement si on veut aller au bout de la logique de la CNIL) :

En revanche, contrairement à ce que soutient [l’éditeur du site web], le fait que certains “cookies” ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme “strictement nécessaires à la fourniture” du service de communication en ligne.”

Le cookie est destiné à personnaliser une publicité online ? CONSENTEMENT PREALABLE OBLIGATOIRE !!!

12 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : L’ÉDITEUR DOIT INTERDIRE À SES PARTENAIRE DE DÉPOSER LEURS COOKIES ! SINON ?

La leçon combinée de la CNIL et du Conseil d’Etat ne s’arrête pas là.

Au titre des obligations qui pèsent sur l’éditeur de site … figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des “cookies” qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements“.

Il est donc du devoir (c’est une obligation) de chaque éditeur de site web d’interdirecontractuellement à ses prestataires sous-traitants de déposer leurs propres cookies.

Si en revanche, le même éditeur de site web autorise ses partenaires à le faire :

“… les éditeurs de site qui autorisent le dépôt et l’utilisation de tels “cookies” par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le “cookie”, notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation“.

Alors, que peut décider la CNIL aujourd’hui en cas de contrôle à la lecture de cette jurisprudence ? D’abord, elle va lire les contrats. Si aucune clause n’est relative à l’interdiction de la dépose de cookies par les sous-traitants de la chaine de “personnalisation” des publicités, et à moins pour l’éditeur du site de prouver ignorer la pose des cookies directement par ses prestataires, c’est une fois encore l’éditeur du site qui sera responsable du traitement, donc sanctionnable pour défaut d’information des internautes !

Mais, voyons le verre à moitié plein, si l’éditeur du site web a interdit contractuellement à son (ses) prestataire(s) de déposer des cookies qui leur soient propres, pourquoi la CNIL irait-elle sanctionner cet éditeur aux lieu et place du prestataire indélicat (en version politiquement correcte) ?

13 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : L’OBLIGATION DE RÉALISER UNE ÉTUDE PRÉALABLE D’IMPACT !

On s’y attendait, c’est maintenant officielle depuis la Délibération de la CNIL n° 2018-327 du 11 octobre 2018. Si un opérateur procède à un “traitement de profilage faisant appel à des données provenant de sources externes“, cet opérateur a l’obligation de réaliser un DPIA (ou AIPD “analyse d’impact relative à la protection des données“), comme le prévoit l’article 35.1 RGPD-GDPR. La CNIL considère donc qu’un profilage de données croisées entre plusieurs sources de collecte constitue par principe un “traitement susceptible d’engendrer un risque élevé” pour les droits et libertés des personnes sens du RGPD-GDPR.

La délibération du 11 octobre 2018 de la CNIL précise que cette obligation concerne toute forme “d’évaluation ou notation” et tout “croisement ou combinaison d’ensembles de données“.

Attention, cette obligation ne concerne pas que la France, dans la mesure où la CNIL le rappelle dans sa délibération “le 14 juin 2018, un projet de liste a été adopté par la [CNIL] et soumis au CEPD [Comité Européen pour la Protection des Données] le 6 juillet 2018. Le CEPD a adopté un avis relatif à ce projet le 25 septembre 2018, qui a été notifié à la [CNIL] le 2 octobre 2018“.

Et, pardon de devoir aussi le rappeler, il est expressément prévu dans le RGPD-GDPR qu’un sous-traitant est tenu (c’est une obligation) d’apporter son assistance lorsqu’un responsable de traitement réaliser son DPIA (considérant n°95 RGPD-GDPR) :

Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d’impact relatives à la protection des données et de la consultation préalable de l’autorité de contrôle“.

14 LA CNIL LE COOKIE ET L’EDITEUR DE SITE WEB : EN CONCLUSION ?

A ce stade, ne croyez pas que l’arret du Conseil d’Etat du 6 juin 2018 soit seulement un “arrêt d’espèce” (une simple bizarrerie juridique). Le contentieux des délibérations de la CNIL part nécessairement devant le seul Conseil d’Etat qui sait donc très bien pourquoi il tranche dans un sens et pas dans l’autre. Car le Conseil d’Etat sait lire, lui aussi, les décisions judiciaires qui s’imposent à lui, comme par exemple les décisions de la CJUE.

Je me permets de vous rappeler juste 1 paragraphe d’une décision de la CJUE, rendu le 5 juin 2018 (veille de l’arrêt “Editions Croque Futur“) :

Même l’Autorité (française) de la Concurrence s’intéresse en 2018 à “l’exploitation des données dans le secteur de la publicité sur internet” (voir avis n° 18-A-03 du 6 mars 2018).

Comme le disait Matthieu Kassovitz en 1995 dans le film “La haine” : “l’important, ce n’est pas la chute… c’est l’atterrissage“.

Alors, vous y croyez, maintenant, à cet avis de tempête 2018 sur la pub ciblée en ligne ?