[mis à jour le 7 décembre 2018] Pourquoi « la CNIL le COOKIE et l’EDITEUR de site web » ? Parce que, malgré la clarté du principe légal qu’il rappelle (obligation d’informer les personnes d’une collecte de données pour faire de la pub ciblée en ligne), l’arrêt du Conseil d’Etat n°412589 du 6 juin 2018 « Editions Croque Futur » est largement passé inaperçu des professionnels qui collectent et qui traitent des données à caractère personnel. Sans doute parce que cet arrêt constitue un véritablement avis de tempête pour l’écosystème de la pub ciblée en ligne et l’industrie de la collecte des données de navigation web. Sans doute aussi parce que toute vérité judiciaire n’est pas bonne à rappeler à des opérateurs économiques qui persistent à ne voir dans le RGPD-GDPR qu’un simple effet de mode.
Il est bien entendu, dans les développements qui suivent, que tout ce qui concerne le ciblage / profilage des données de navigation sur les sites web s’applique à l’identique aux données personnelles collectées à partir des « applications mobiles » (les Apps utilisées depuis un « smartphone »).
[lu ce 7/12/2018 sur le site web la depeche.fr] « … la mise en place du RGPD reste complexe et une grande majorité de sites web seraient ainsi hors-la-loi. 99 % même selon Freebip. Après avoir contacté plus de 400 000 sites, le constat est accablant : seuls 1 % se sont donnés les moyens de répondre aux demandes des citoyens« .

La décision du Conseil d’Etat du 6 juin 2018 est rendu sous le régime de la loi n°78-17 du 6 janvier 1978 « Informatique et Libertés » rectifiée par transposition de la Directive 95/46 du 24 octobre 1995.
Cet arrêt, et c’est bien son intérêt, est 100 % transposable aux règles du Règlement UE « RGPD-GDPR » n°2016/679 du 27 avril 2016 entré en application le 25 mai 2018 (2 semaines avant). Pour les professionnels qui attendent les premières décisions de sanction de la CNIL (pourquoi pas ? cela peut relever d’un choix économique), voici un aperçu de « comment » le Conseil d’Etat valide (de manière prévisible) l’application (prévisible) de la loi sur la protection des données à caractère personnel par la CNIL. Ne seront donc étonné(e)s par cet arrêt et par ses conséquences que celles et ceux qui veulent rester sourd(e)s au bruit de la vague qui monte irrémédiablement.

Mais… de quelles données à caractère personnel parle-t-on ici, au juste ? Des métadonnées de navigation web ? Voila qui mérite sans doute quelques explications technico-juridiques…
Et qui sont les professionnels concernés ? D’abord la presse en ligne et les sites web de e-commerce (ça fait déjà pas mal de monde…).

la CNIL le COOKIE et l’EDITEUR de SITE WEB : les métadonnées ?

Depuis 1998, date à laquelle Google a lancé son moteur de recherche, les internautes / mobinautes (ceux qui surfent sur le web à partir de leur smartphone) ne savent pas « qui » collecte leurs données de navigation sur le web, ni bien évidemment « comment ». Les internautes ignorent le plus souvent jusqu’à l’existence même des « métadonnées », ces données techniques qui permettent la transmission de « données de contenus » (voix, images, textes, etc.) vers leur terminal. Car depuis que les communications électroniques existent, les métadonnées constituent un sujet limpide pour les ingénieurs et à l’inverse, parfaitement obscur pour les juristes (qu’est ce que c’est ? + comment ça marche ?).
Pour savoir « quel terminal » consulte « quel » contenu sur le web, il faut collecter et analyser les métadonnées des terminaux des « internautes / mobinautes avec cette idée force : dis moi « où » tu es, « quand » tu consultes le web, « quel contenu » tu regardes (au moins l’URL d’entrée des sites web), et je saurai « qui tu es ». Pour parvenir à ce résultat, les cookies représentent un moyen technique très adapté à l’univers du web et du téléphone portable.

la CNIL le COOKIE et l’EDITEUR de SITE WEB : la collecte et le traitement des données de navigation web

Depuis les années 2000, des tas d’opérateurs savent techniquement « récupérer » des données de navigation web et les traiter. « Traiter » (article 4.2 RGPD) les données de navigation web, ça sert à proposer des moteurs de recommandation en ligne (pour, par exemple, du « matching » sur les sites de rencontre);  ça sert à faire de la publicité ciblée/personnalisée très performante; ça sert à établir des profils de consommateurs ou de professionnels selon leurs centres d’intérêt pour leur proposer des offres commerciales profilées presque « sur mesure ».

la CNIL le COOKIE et l’EDITEUR de SITE WEB : suivi de comportement et profilage RGPD-GDPR

Le traitement des données de navigation, en langage RGPD-GDPR, sert à faire du « suivi de comportement » (voir par exemple considérant n°24 GDPR) ou, de manière plus large encore, du « profilage » (article 4.4 GDPR) : « évaluer certains aspects [d’une] personne physique, notamment pour analyser ou prédire… le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements…« .
Le profilage n’est pas interdit, il doit seulement obligatoirement faire l’objet (i) d’une information préalable à la personne profilée et (ii) d’une mention spéciale du droit d’opposition (article 21.2 RGPD). Donc, si profilage il y a via une collecte de données opérée par un cookie, il faut en informer l’internaute / mobinaute (« clairement et séparément de toute autre information« ) et lui permettre de s’y opposer « à tout moment et sans frais » (considérant n°70 RGPD-GDPR).

la CNIL le COOKIE et l’EDITEUR de SITE WEB : la technique du cookie

Parmi les nombreuses techniques permettant depuis 20 ans le suivi de comportement de navigation des internautes, le cookie ou « témoin de connexion » est la plus répandue.

Lors d’une connexion d’un terminal à un site web, le serveur hébergeant le site web peut très facilement envoyer au terminal qui veut afficher une page web (comme celle-ci si vous lisez ce texte en ligne) un petit fichier texte (quelques minuscules kilos octets) qui s’implante dans la mémoire du terminal via le logiciel de navigation (Chrome / Internet Explorer / Safari / Firefox / etc.). Ce petit fichier, c’est le « cookie », le « témoin de connexion » en Molière dans le texte.
En termes plus techniques, le cookie est une suite d’informations envoyée par le « serveur HTTP » (qui héberge le site web consulté) à un « client HTTP » (le terminal qui consulte les pages web), que le cookie retourne lors de chaque interrogation du même terminal par le même serveur HTTP. Si votre terminal est « rempli » de cookies (au moins une bonne centaine ?), cela vous donne un ordre d’idée du nombre de serveurs qui récupèrent vos données indirectement personnelles,  car derrière votre terminal, vous êtes, nous sommes très, très identifiables, avec 99 % de probabilité.
[NDLR] Ne vous attachez pas trop à la seule technique du cookie. Il existe un nombre incroyable d’autres « technologies » permettant d’identifier avec 99,99 % de certitude un terminal (et donc la personne qui l’utilise) : le « pixel invisible » (ou « pixel espion« ), le « (canvas) fingerprinting« , etc. Evidemment, surtout à la lecture des projets successifs du Règlement UE « e-Privacy », toutes ces technologies sont concernées par les lois européennes sur la protection des données personnelles, au premier rang desquelles le RGPD-GDPR. Dans le slider juste en dessous, vous trouverez quelques explications techniques sur les tags / cookies / etc. (en BD bien sûr ! avec « Chaos Team » aux éditions Akileos).

la CNIL le COOKIE et l’EDITEUR de SITE WEB : le slider spécial « aspects techniques »

[wonderplugin_gallery id= »273″]

la CNIL le COOKIE et l’EDITEUR de SITE WEB : les différents types de cookies

Tous les cookies n’ont pas pour objet de « pister » l’internaute / mobinaute. Certains permettent d’améliorer la page web selon les données techniques du terminal de consultation. Ces cookies sont souvent appelés cookies (purement) « techniques ». La CNIL fait très bien la différence entre ces cookies « techniques » et les autres, dont la finalité / la fonction n’est (clairement) pas la même.

C’est quoi, un cookie « technique » ? C’est par exemple un cookie qui permet de « retenir » le choix de langue de l’internaute qui consulte un site web.
Et si le cookie n’a pas de vocation strictement « technique », à quoi peut-il bien servir ? En 2013, la CNIL distinguait 3 fonctions principales :

Lors d’une même consultation d’une de ses pages, un site web peut déposer plusieurs cookies (pas tous techniques) sur le terminal de l’internaute. Si l’éditeur de la page web concernée fait en outre travailler des partenaires en sous traitance (cas très fréquent de modules externes en « Software as a Service » ou de « tag » en Javascript dans le code source du site web), les sous-traitants en profitent souvent alors pour déposer (aussi) leur(s) propre(s) cookie(s).
C’est ainsi que sur un site web « classique » de e-commerce ou de presse en ligne, l’internaute qui consulte une seule page peut – sans le savoir – enregistrer plus d’une dizaine de cookies, notamment par des prestataires que l’internaute ne connait pas (et dont il ne soupçonne pas même l’existence). A titre d’exemple, aujourd’hui dans l’univers de la publicité ciblée, certains annonceurs dont le « message publicitaire » s’affiche en ligne sur la page web consultée disposent parfois aussi des moyens techniques pour déposer un cookie qui leur soit propre ! Oui, vous avez bien lu : mêmes les annonceurs collectent parfois des datas sur ceux qui sont exposés à leur « messages publicitaire » en ligne. Tout est résumé dans la slide ci-dessous.

la CNIL le COOKIE et l’EDITEUR de SITE WEB : la pratique des EDITEURS de SITES WEB depuis 2013

De manière généralisée depuis 20 ans, et malgré les termes clairs de la loi « Informatique et Libertés » du 6 janvier 1978 puis de la Directive 95/46 et de la Directive 2002/58, les éditeurs de site web déposent – sans information préalable, ni bien sûr demande de consentement – « des » cookies dans les terminaux des internautes qui visitent leur site. La CNIL en France s’en était émue et avait trouvé en 2013 un terrain d’entente avec les professionnels : le « bandeau cookie ».
Avant de s’intéresser à l’arrêt « Editions Croque Futur » (éditeur du site web www.challenges.fr), petit rappel de la Délibération CNIL n°2013-378 du 5 décembre 2013 (« recommandation sur les cookies et autres traceurs ») dont le Conseil d’Etat ne fait au final qu’une stricte application. Si vous voulez le détail de la réglementation CNIL de 2013 sur les cookies, tout est le slider spécial « aspects techniques » juste au dessus.

La « recommandation cookies » de la CNIL en 2013 en synthèse

Le principe retenu en 2013 est relativement simple. Les cookies « techniques » sont acceptables SANS consentement (« traitement nécessaire à…« ) mais AVEC information préalable de l’internaute. A l’inverse, les cookies à vocation publicitaire sont soumis à consentement PREALABLE, c’est-à-dire AVANT utilisation du service.
Bien entendu, ces obligations concernent également l’univers de la pub ciblée sur mobile. Pour une illustration récente de ce principe d’information obligatoire et PREALABLE, lire les mises en demeure de la CNIL adressées le 25 juin 2018 respectivement aux sociétés Teemo et Fidzup, ou celles – toutes fraiches – adressées à la société Singlespot le 8 octobre 2018 ou à la société Vectaury le 30 octobre 2018.
Que dire sur le mécanisme recommandé du « bandeau cookies » par la CNIL en 2013 et l’application qu’en ont fait les professionnels, apparemment peu effrayés par le faible niveau de sanction potentiel de l’époque (et malgré le caractère inéluctable des condamnations à venir) ? A ce titre, l’arrêt du Conseil d’Etat du 6 juin 2018 était tout à fait prévisible, pour qui veut bien faire l’adéquation (sans trop se mentir…) entre les textes légaux et les technologies mises en oeuvre.

la CNIL le COOKIE et l’EDITEUR de SITE WEB  : la procédure contre « Editions Croque Futur »

Les Editions Croque Futur qui éditent le site web www.challenges.fr avaient fait l’objet d’un contrôle de la CNIL. Suite à des « constatations en ligne les 28 novembre 2014 et 2 juin 2015« , et après « mise en demeure » de cesser les manquements constatés sous trois mois (sans résultat apparemment), la CNIL avait décidé d’une sanction 2 ans plus tard (« délibération du 18 mai 2017« ), mais avait également décidé, comme elle en a le pouvoir, de ne pas rendre publique cette décision de condamnation.
Les Editions Croque Futur auraient pu payer les sanctions pécuniaires et l’affaire aurait pu s’arrêter là, mais…
Comme il en avait également le droit, l’éditeur de www.challenges.fr a fait appel de la délibération de la CNIL devant le Conseil d’Etat. Et le Conseil d’Etat a tranché par décision publique, comme c’est la règle en procédure contentieuse administrative. De ce fait, la décision non publique de la CNIL du 18 mai 2017 nous est aujourd’hui partiellement connue.
Rappelons que la sanction pécuniaire imposée par la CNIL le 18 mai 2017 aux Editions Croque Futur (et confirmée par le Conseil d’Etat le 6 juin 2018) était de 25.000 €uros (on a envie de dire seulement ?). En comparaison, pour un défaut de sécurisation de son système d’information (article 34 loi n°78-17 / article 32 RGP-GDPR), Optical Center a été condamnée à 250.000 €uros de sanctions pécuniaires le 7 mai 2018.
Quels reproches pour l’éditeur du site www.challenges.fr ? Notamment un « manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion (« cookies ») sur le terminal des utilisateurs« .

la CNIL le COOKIE et l’EDITEUR de SITE WEB : quelle obligation et sur quel fondement légal ?

« article 32 II de la loi du 6 janvier 1978 » … « [éclairé] par les objectifs de la directive du 12 juillet 2002 » (la Directive 2002/58 que le projet de Règlement UE « e-Privacy » en projet v3 du 4 mai 2018 doit remplacer à terme).
A ce stade, je préfère citer la décision du Conseil d’Etat (sinon, vous allez croire que j’invente !) :
« [ces dispositions légales] imposent, d’une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d’internet, sur la finalité de ces « cookies » et les moyens dont ils disposent pour s’y opposer. Elles imposent, d’autre part, le recueil de leur consentement avant tout dépôt de « cookies » sur le terminal grâce auquel [les personnes] accèdent à ces services« .
De plus, le Conseil d’Etat confirme la « doctrine » CNIL (délibération du 5 décembre 2013) sur les cookies (purement) techniques :
« Ne sont pas concernés par ces obligations [de collecte de consentement] les « cookies » qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur« .
L’arrêt « Editions Croque Futur » de 2018 ne dit d’ailleurs pas autre chose sur les cookies (purement) techniques en précisant que la décision de sanction de la CNIL « ne s’est pas fondée sur un défaut de caractère préalable à tout dépôt de « cookie » du recueil du consentement de l’utilisateur ni ne fait grief [à l’éditeur du site web] de ne pas avoir bloqué des « cookies » essentiels au fonctionnement de son site« .

la CNIL le COOKIE et l’EDITEUR de site web : le droit d’opposition au dépôt de cookies

S’il y a obligation de demander un consentement, un « consentement » pour la loi Informatique et Libertés d’hier comme pour le RGPD-GDPR aujourd’hui, ça veut dire l’expression d’un « oui » ou d’un non ». Et si c’est « non », c’est effectivement « non ».
Pour répondre en pratique à l’expression de ce droit d’opposition, les Editions Croque Futur, comme beaucoup d’éditeurs de site web, renvoyaient les internautes au paramétrage de leur navigateur (option « aide toi, le Ciel t’aidera » comme dans la fable « Le Chartier embourbé«  de Jean de la Fontaine). C’est sur ce point précis que le Conseil d’Etat valide entièrement le raisonnement de la CNIL et rejette en bloc l’argumentation de l’éditeur de www.challenges.fr :
« le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de « cookies« .
Et la conséquence de ce rejet est immédiatement qualifié de « manquement à l’obligation d’information » des internautes auquel l’éditeur du site web, malgré la mise en demeure de la CNIL, n’avait pas mis un terme :
« [l’éditeur du site web] n’avait pas … remédié au manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion« .
C’est donc bien directement à l’éditeur du site web de permettre à ses lecteurs d’autoriser (ou non) la dépose de cookies : il ne suffit donc pas de botter en touche et de laisser le lecteur galérer seul, à chaque fois, pour chaque site web visité, avec les paramètres de son navigateur. Pour le dire autrement, l’éditeur du site web devrait aider techniquement ses lecteurs à dire « oui ou non », par exemple en proposant des fonctionnalités en ce sens directement sur son site web.
C’est une révolte des tribunaux ? « Non Sire, c’est une révolution » qui s’annonce pour les éditeurs de sites web : respecter la loi.
[la citation est la réponse du Duc de la Rochefoucault-Liancourt à Louis XVI le 14 juillet 1789 – je vous fais profiter de mes révisions sur la Révolution française, au programme scolaire de la classe de 4ème…]

la CNIL le COOKIE et l’EDITEUR de SITE WEB : oui, l’éditeur est « responsable de traitement » !

Il ne fait aucun doute dans l’esprit de la CNIL, ni manifestement dans celui du Conseil d’Etat, qu’une personne qui navigue sur un site web (le visiteur / lecteur / etc.) est « client » de ce site web. En termes « Informatique et Libertés » ou « RGPD-GDPR », cela signifie juridiquement que l’éditeur du site est bien le « responsable du traitement » (« data controller« , ce qui est plus parlant encore en Shakespeare dans le texte) des donnés personnelles qu’il collecte auprès de « ses » lecteurs.
Et bien évidemment, si un éditeur demande à sa régie publicitaire (exemple au hasard…) de poser un cookie sur le terminal de ses lecteurs / visiteurs, en son nom et pour son compte, cela signifie juridiquement que la régie pub agit comme « sous-traitant » (ou « data processor« ) du site web, « au nom et pour le compte » du site web. « au nom et pour le compte de » ? C’est la définition même du sous-traitant dans le RGPD-GDPR (article 4.8).

la CNIL le COOKIE et l’EDITEUR de SITE WEB : pas d’exception pour la pub en ligne !

Je n’invente rien là encore. Le cookie posé par l’éditeur d’un site web (ou son sous-traitant agissant « en son nom et pour son compte ») n’est jamais SANS consentement « nécessaire à l’exécution d’un contrat » (ni « nécessaire aux intérêts légitimes » de l’éditeur responsable de traitement si on veut aller au bout de la logique de la CNIL) :

« En revanche, contrairement à ce que soutient [l’éditeur du site web], le fait que certains « cookies » ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne. »
Le cookie est destiné à personnaliser une publicité online ? CONSENTEMENT PREALABLE OBLIGATOIRE !!!

---

la CNIL le COOKIE et l’EDITEUR de SITE WEB : l’éditeur DOIT interdire à ses partenaire de déposer leurs cookies ! Sinon ?

La leçon combinée de la CNIL et du Conseil d’Etat ne s’arrête pas là.

« Au titre des obligations qui pèsent sur l’éditeur de site … figurent [i] celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des « cookies » qui ne respectent pas la règlementation applicable en France et [ii] celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements« .

Il est donc du devoir (c’est une obligation) de chaque éditeur de site web d’interdire contractuellement à ses prestataires sous-traitants de déposer leurs propres cookies.
Si en revanche, le même éditeur de site web autorise ses partenaires à le faire :

A ce stade, ne croyez pas que l’arrêt « Editions Croque Futur » du Conseil d’Etat du 6 juin 2018 soit seulement un « arrêt d’espèce » (une simple bizarrerie juridique). Le contentieux des délibérations de la CNIL part nécessairement devant le seul Conseil d’Etat qui sait donc très bien pourquoi il tranche dans un sens et pas dans l’autre. Car le Conseil d’Etat sait lire, lui aussi, les décisions judiciaires qui s’imposent à lui, comme par exemple les décisions de la CJUE.
Je me permets de vous rappeler juste 1 paragraphe d’une décision de la CJUE, rendu le 5 juin 2018 (veille de l’arrêt « Editions Croque Futur ») :

la CNIL le COOKIE et l’EDITEUR de site web : un écosystème dans l’oeil du cyclone ?

Vous ne serez pas surpris d’apprendre que la CNIL s’intéresse de près à la publicité « comportementale ». Dès le 23 mai 2017, la CNIL prévenait sur son site web : « Publicité en ligne : la CNIL précise les règles à respecter à l’issue de ses contrôles« . Elle avait écrit le 27 juillet 2016 « Cookies : la CNIL étend ses contrôles au-delà des éditeurs de sites«  ainsi que « Cookies & traceurs : que dit la loi ?« . Allez, un dernier : « Site web, cookies et autres traceurs »
Même l’Autorité (française) de la Concurrence s’intéresse en 2018 à « l’exploitation des données dans le secteur de la publicité sur internet » (voir avis n° 18-A-03 du 6 mars 2018). La presse en ligne, parfois bien informée (je parle ici volontiers du site Next INpact) a justement relayé ce qu’il faut retenir de ce rapport de 125 pages…
Alors, vous y croyez, maintenant, à cet avis de tempête 2018 sur la pub ciblée en ligne ? Comme le disait Matthieu Kassovitz en 1995 dans le film « La haine » : « l’important, ce n’est pas la chute… c’est l’atterrissage« …