Commission nationale de l’informatique et des libertés, Délibération SAN-2021-013 du 27 juillet 2021.
Par sa délibération SAN-2021-013, du 27 juillet 2021, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil), investie, en application de la loi n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, d’un pouvoir de sanction, a prononcé, à l’encontre de la société du Figaro, une sanction administrative d’un montant de 50 000 euros, pour faits d’atteinte au droit des personnes à la protection de leurs données personnelles, en raison de « cookies », ou témoins de connexion, à finalité publicitaire, devant notamment permettre la diffusion de publicités ciblées et donc d’une plus grande efficacité, déposés sur son site d’information en ligne, par un tiers, en l’absence de consentement des internautes utilisateurs ou en violation de leur opposition.
Dispositions en vigueur
Aux termes de l’article 82 de ladite loi de janvier 1978 révisée, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète […] par le responsable du traitement […] : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose de s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement […]. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations […] : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
Mention est faite, dans ladite délibération, de ce que cette disposition constitue l’exacte transposition en droit interne de l’article 5 §3 de la directive 2002/58/CE, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
L’article 16 de la même loi de 1978 révisée dispose que « la formation restreinte » de la Cnil « prend les mesures et prononce les sanctions à l’encontre des responsables de traitements […] qui ne respectent pas les obligations découlant du Règlement (UE) 2016/679, du 27 avril 2016 » (dit RGPD) et de la présente loi dans les conditions prévues par ses articles 20 à 23 relatifs aux « mesures correctrices et sanctions ».
Parmi les sanctions susceptibles d’être ainsi prononcées, l’article 20 de cette loi envisage qu’elle puisse prendre la forme d’« une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ». Elle est bien moindre en l’espèce.
Application au cas d’espèce
En cette affaire, la société du Figaro, sur la base de ces dispositions et en dépit de ses contestations, a été sanctionnée par la Cnil en raison de « cookies » implantés, sur son site, par certains de ses partenaires commerciaux, afin de prélever, à usage publicitaire, des informations personnelles concernant les internautes utilisateurs, sans le consentement de ces derniers.
Pour s’opposer à l’exercice du pouvoir de sanction de la Cnil, la société du Figaro a commencé par tenter de faire valoir que « les règles en matière de cookies et les responsabilités des différents acteurs qui y sont liées » ne seraient « pas suffisamment claires pour engager directement une procédure de sanction ». Selon elle, cela aurait nécessité que lui soit préalablement adressée une « mise en demeure de corriger les manquements » qui lui étaient reprochés.
À cet argument, la Cnil oppose le fait que, « dans sa décision n° 2018-765, du 12 juin 2018, le Conseil constitutionnel n’a pas émis de réserve s’agissant de la possibilité, pour le président de la Cnil, d’engager une procédure de sanction sans mise en demeure préalable », et que le Conseil d’État a jugé qu’il « résulte clairement [des dispositions de l’article 20 de la loi du 6 janvier 1978 modifiée] que le prononcé d’une sanction par la formation restreinte de la Cnil n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement » (CE, 9 octobre 2020, Sté SERGIC, n° 433311).
La formation restreinte de la Cnil souligne ensuite que les pratiques reprochées en l’espèce « ont été continuellement considérées comme non conformes par la Cnil et que l’existence d’une responsabilité de l’éditeur du site a fait l’objet d’une décision du Conseil d’État qui précise le périmètre de cette responsabilité » – CE, 6 juin 2018, Éditions Croque Futur, n° 412589.
La société du Figaro tentait, par ailleurs, de faire valoir que la « procédure de sanction violerait le principe de légalité des délits et des peines, garanti par l’article 8 de la Déclaration des droits de l’homme et du citoyen, dès lors qu’il n’existe aucune doctrine de la Cnil ou de l’ensemble des régulateurs européens sur la répartition des responsabilités entre les éditeurs de site et les émetteurs de cookies tiers ».
En réponse, la formation restreinte, se référant notamment à l’arrêt précité du Conseil d’État, du 6 juin 2018, rappelle que, « au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des « cookies tiers », figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la réglementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements ». Elle ajoute avoir déjà « adopté des sanctions pécuniaires », dont elle donne les références, « à l’encontre d’éditeurs de site pour des faits relatifs aux opérations de lecture et/ou d’écriture d’informations, y compris par des tiers, dans le terminal des utilisateurs visitant leur site ». En conséquence, elle retient, à la charge de la société du Figaro, « une obligation de moyen de s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des cookies en violation de la réglementation applicable ».
Considérant que « les amendes administratives doivent être dissuasives mais proportionnées », compte tenu du manquement reproché et du chiffre d’affaires de la société, la Cnil fixe, en l’espèce, le montant de l’amende à 50 000 euros. Elle décide, de plus, de « rendre publique, sur le site de la Cnil et sur le site de Légifrance, sa délibération, qui » – au nom du dit « droit à l’oubli » au respect duquel, s’agissant des personnes physiques, veille la même autorité – « n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication ».
La protection des données personnelles nécessite que soit engagée la responsabilité de tous ceux qui contribuent aux atteintes qui y sont portées. En dépit notamment des compétences techniques spécialisées qu’exige la résolution de ces affaires, et quelles que soient les garanties de procédure désormais offertes, cela justifie-t-il cependant que l’exercice du pouvoir de sanction pour non-respect des obligations, qui relève normalement de la compétence des juges, soit confié à une autorité administrative telle la formation restreinte de la Cnil ? Cela se fait, il est vrai, avec possibilité de recours devant le Conseil d’État.