La Commission nationale de l’informatique et des libertés (Cnil) a constaté plusieurs manquements aux dispositions de la loi du 6 janvier 1978 Informatique et Libertés par la société éditrice du site « www.challenges.fr ». La présidente de la Commission la alors mise en demeure de se conformer, sous un délai de trois mois, à ces dispositions. En l’absence de réponse, un courrier de relance lui a été adressé postérieurement à l’expiration du délai de mise en demeure. Aucune suite n’ayant été donnée à cette relance, la formation restreinte de la Cnil a infligé à la société une sanction pécuniaire de 25.000 .
Dans une décision du 6 juin 2018, le Conseil dEtat énonce que les dispositions de la loi de 1978 instituent une obligation d’information claire et complète des utilisateurs d’internet sur les témoins de connexion (« cookie »). En effet, ces cookies sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur les terminaux des internautes lorsqu’ils visitent un site, ces témoins de connexion et les informations qu’ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l’aide du même terminal.
Le Conseil rappelle que ces dispositions imposent, d’une part, une information des utilisateurs de services de communications électroniques sur la finalité de ces « cookies » et les moyens dont ils disposent pour s’y opposer et, d’autre part, le recueil de leur consentement avant tout dépôt de « cookies » sur le terminal grâce auquel ils accèdent à ces services. Cependant, les « cookies » qui sont essentiels au fonctionnement technique du site et ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ne sont pas concernés par ces obligations. En revanche, contrairement à ce que soutient la société, le fait que certains « cookies » ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service.
A ce titre, le Conseil dEtat relève que, si la société requérante soutient qu’elle s’est mise en conformité avec ces exigences en proposant aux personnes concernées le paramétrage de leur navigateur pour s’opposer au dépôt de « cookies », les éléments portés à la connaissance des utilisateurs du site internet ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition.
Cest donc à bon droit que la Cnil a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d’opposition au dépôt de « cookies » et en a déduit qu’il n’avait pas été remédié au manquement à l’obligation d’information et de mise en oeuvre d’un mécanisme d’opposition en cas de dépôt de témoins de connexion.
Enfin, la Cnil ne s’est pas fondée sur un défaut de caractère préalable à tout dépôt de « cookie » du recueil du consentement de l’utilisateur ni ne lui a fait grief de ne pas avoir bloqué des « cookies » essentiels au fonctionnement de son site. Les moyens reprochant à la décision litigieuse d’avoir retenu de tels manquements doivent donc être écartés.