Délibération SAN-2021-013 du 27 juillet 2021

Délibération de la formation restreinte n°SAN-2021-013 du 27 juillet 2021 concernant la SOCIETE x

Délibération de la formation restreinte no SAN-2021-013 concernant la SOCIETE [...]

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, de Mesdames Anne DEBET et Christine MAUGÜE et de Messieurs Alain DRU et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la saisine n° 18016566 ;

Vu la décision no 2020-008C du 27 décembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du domaine "[...].fr " ou portant sur des données à caractère personnel collectées à partir de ce dernier ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte du 21 décembre 2020 ;

Vu le rapport de Madame Valérie PEUGEOT, commissaire rapporteure, notifié à la SOCIETE [...] le 1er avril 2021 ;

Vu les observations écrites versées par la SOCIETE [...] le 17 mai 2021 ;

Vu la réponse de la rapporteure à ces observations notifiée à la SOCIETE [...] le 7 juin 2021 ;

Vu les observations écrites versées par la SOCIETE [...] le 25 juin 2021 ;

Vu les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 8 juillet 2021 :

- Madame Valérie PEUGEOT, commissaire, entendue en son rapport ;

En qualité de représentants de la SOCIETE [...] :

- […] ;

- […] ;

- […] ;

- […] ;

- […].

La SOCIETE [...] ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. La SOCIETE [...] (ci-après "la société "), dont le siège social est situé 14 boulevard Haussmann à Paris (75009), est une filiale du groupe [...], qui a pour principale activité l’édition de journaux, en versions papier et numérique. Créée en 1856, elle compte 670 salariés.

2. Pour les besoins de son activité, la société édite notamment le site web d’actualités www.[...].fr (ci-après "le site [...].fr ") sur lequel des espaces publicitaires sont commercialisés auprès d’annonceurs.

3. Le site dispose d’une offre gratuite, permettant de rendre certains contenus accessibles à tout internaute. Il dispose également d’une offre payante, pour laquelle la société indique qu’elle permet à l’internaute d’accéder à l’ensemble des contenus publiés sur le site, de se connecter à son espace personnel et de bénéficier d’un "affichage publicitaire limité ".

4. Pour l’année 2019, la SOCIETE [...] a réalisé un chiffre d’affaires de […] euros pour un résultat […] euros. Le nombre de visiteurs par mois, pour les douze derniers mois, du site [...].fr en France métropolitaine, était de l’ordre de […]. Le nombre d’abonnés numériques au 1er décembre 2020 était de […]. […].

5. Le 16 août 2018, la Commission nationale de l’informatique et des libertés (ci-après "la CNIL " ou "la Commission ") a été saisie d’une plainte n° 18016566 d’une utilisatrice du site [...].fr. La plaignante faisait notamment état du dépôt de cookies sur son terminal avant toute action de sa part sur le site [...].fr et sans recueil de son consentement.

6. Pour les besoins de l’instruction de la plainte et afin de vérifier les éléments de réponse apportés par la société au cours de la procédure, cinq opérations de contrôle en ligne du site [...].fr ont été effectuées en application de la décision n° 2020-008C du 27 décembre 2019 de la présidente de la CNIL. Ces missions ont été réalisées respectivement les 14 janvier 2020, 9 septembre 2020, 25 novembre 2020, 18 février 2021 et 1er juin 2021.

7. Ces missions ont notamment eu pour objet de vérifier la conformité aux dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après "la loi Informatique et Libertés ") de tout traitement accessible à partir du domaine [...].fr ou portant sur des données à caractère personnel collectées à partir de ce dernier. Il s’agissait plus précisément de procéder à des investigations en lien avec les opérations de lecture ou d’écriture d’informations dans le terminal des internautes à partir du site [...].fr.

8. Au cours des deux premiers contrôles, la délégation de la CNIL s’est principalement attachée à vérifier à quel moment des cookies étaient déposés sur le terminal de l’utilisateur à partir du site [...].fr, quelle était la finalité de chacun des cookies déposés, quelles informations étaient délivrées aux utilisateurs en lien avec ces cookies et, enfin, quel dispositif était mis en œuvre pour permettre à l’utilisateur de refuser leur dépôt lorsque celui-ci se rend sur la page d’accueil de ce site.

9. A l’issue de ces contrôles, les procès-verbaux n° 2020-008/1 et n° 2020-008/2 ont été notifiés à la SOCIETE [...] par courriers datés respectivement du 17 janvier et du 10 septembre 2020. La société a transmis aux services de la Commission, par courriels des 5 février et 5 octobre 2020, les pièces complémentaires sollicitées à l’issue de ces missions de contrôle.

10. Au regard des réponses apportées le 5 octobre 2020 par la société, indiquant notamment, en lien avec les modalités de suppression des cookies, qu’un "rechargement de page (ou la navigation vers une autre page) est nécessaire, afin que les déposants puissent supprimer les cookies ", un nouveau contrôle a été diligenté le 25 novembre 2020 afin d’effectuer les mêmes constatations en vérifiant les conséquences d’un rechargement de la page ou d’une navigation vers une autre page du site après avoir retiré son consentement au dépôt des cookies.

11. A l’issue de ce contrôle, le procès-verbal n° 2020-008/3 a été notifié à la SOCIETE [...] par courrier du 25 novembre 2020. La société a transmis aux services de la Commission, par courriel du 18 décembre 2020, les pièces sollicitées à l’issue de cette mission de contrôle.

12. Aux fins d’instruction de l’ensemble de ces éléments, la présidente de la Commission a, le 21 décembre 2020, désigné Madame Valérie PEUGEOT en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

13. Par courriel du 13 janvier 2021, la SOCIETE [...] a adressé une demande d’audition à la rapporteure, qui y a répondu en indiquant qu’elle n’apparaissait pas nécessaire à ce stade.

14. De nouvelles investigations ont été diligentées le 18 février 2021, pour compléter les constatations précédemment effectuées le 25 novembre 2020, afin de vérifier les conséquences d’une navigation vers une autre page du site lorsque l’utilisateur a refusé de consentir au dépôt des cookies dès son arrivée sur le site [...].fr (les constations précédentes concernant l’hypothèse d’un retrait ultérieur de consentement).

15. A l’issue de ce contrôle, le procès-verbal n° 2020-008/4 a été notifié à la SOCIETE [...] par courrier du 25 février 2021. La société a transmis aux services de la Commission, par courriel du 12 mars 2021, les pièces sollicitées lors de cette mission de contrôle.

16. A l’issue de son instruction, la rapporteure a, le 1er avril 2021, fait notifier à la SOCIETE [...] un rapport détaillant le manquement à l’article 82 de la loi "Informatique et Libertés " qu’elle estimait constitué en l’espèce et indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites en application des dispositions de l’article 40 du décret n° 2019-536 du 29 mai 2019. Le courrier de notification du rapport comportait également une convocation à la séance de la formation restreinte du 3 juin 2021.

17. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de la SOCIETE [...] une amende administrative au regard du manquement constitué à l’article 82 de la loi "Informatique et Libertés ". Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

18. Par courriel du 23 avril 2021, la SOCIETE [...] a sollicité une extension du délai d’un mois prévu par l’article 40 du décret n° 2019-536 du 29 mai 2019 pour produire ses observations. Cette demande a été acceptée par le président de la formation restreinte par courriel du 27 avril 2021.

19. Le 17 mai 2021, la société a produit ses observations en réponse au rapport de sanction.

20. Au regard des observations soulevées par la société dans cette réponse, selon lesquelles la délégation de contrôle n’avait effectué ses vérifications qu’à partir d’un navigateur Firefox et, qu’en conséquence, aucun manquement ne pourrait être retenu s’agissant d’un internaute se rendant sur le site [...].fr au moyen du navigateur Chrome, de nouvelles investigations ont été diligentées le 1er juin 2021.

21. Le 31 mai 2021, la rapporteure a sollicité un délai pour répondre aux observations formulées par la SOCIETE [...]. Par courriel du 1er juin 2021, le président de la formation restreinte a avisé la rapporteure qu’elle bénéficiait d’un délai supplémentaire de six jours pour produire ses observations. Par courrier du 1er juin 2021, la société a été avisée qu’elle bénéficiait également d’un délai supplémentaire de six jours et que, dès lors, la séance de la formation restreinte initialement prévue le 3 juin 2021 était reportée.

22. Par courrier daté du 7 juin 2021, la réponse de la rapporteure aux observations de la société lui a été adressée, accompagnée d’une nouvelle convocation à la séance de la formation restreinte du 8 juillet 2021.

23. Le 25 juin 2021, la SOCIETE [...] a produit de nouvelles observations en réponse à celles de la rapporteure.

24. La SOCIETE [...] et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte du 8 juillet 2021.

II. Motifs de la décision

A. Sur le respect des droits de la défense

25. La société soutient que la procédure suivie par la CNIL ne respecte pas les droits de la défense et le principe du contradictoire, tel que garanti par l’article 6 de la Convention européenne des droits de l’homme et l’article 16 de la Déclaration des droits de l’homme et du citoyen.

1. […]

26. […].

27. […].

28. […].

29. […].

2. Sur l’absence de mise en demeure préalable

30. La société fait valoir que les règles en matière de cookies et les responsabilités des différents acteurs qui y sont liées ne sont pas suffisamment claires pour engager directement une procédure de sanction, de sorte que cette dernière fait grief à la présidente de la CNIL de ne pas l’avoir préalablement mise en demeure de corriger les manquements à l’origine des faits litigieux.

31. En premier lieu, s’agissant du grief relatif à l’absence de mise en demeure préalable, la formation restreinte relève d’abord qu’il ressort des dispositions de l’article 20 de la loi "Informatique et Libertés " modifiée par la loi n° 2018-493 du 20 juin 2018 que l’autorité de contrôle dispose d’un ensemble de mesures correctrices, adaptées selon les caractéristiques propres à chaque cas, qui peuvent être combinées entre elles et être précédées ou non d’une mise en demeure. Les mesures correctrices peuvent être prises directement dans tous les cas.

32. La formation restreinte relève également que dans sa décision n° 2018-765 du 12 juin 2018, le Conseil constitutionnel n’a pas émis de réserve s’agissant de la possibilité pour le président de la CNIL d’engager une procédure de sanction sans mise en demeure préalable. Enfin, la formation restreinte rappelle que le Conseil d’État a jugé (CE, 9 octobre 2020, Société SERGIC, n° 433311) qu’il "résulte clairement [des dispositions de l’article 20 de la loi du 6 janvier 1978 modifiée], que le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL […] ".

33. En second lieu, s’agissant du grief relatif à l’absence de clarté des règles en matière de cookies et de responsabilité des acteurs, la formation restreinte souligne d’abord, en synthèse et comme développé aux points 48 à 62, que les différentes branches du manquement reproché à la société ont pour seul fondement juridique les dispositions de l’article 82 de la loi "Informatique et Libertés " dont le contenu est inchangé depuis dix ans.

34. La formation restreinte souligne ensuite que les pratiques à l’origine des différentes branches du manquement reproché en l’espèce à la société ont été continuellement considérées comme non conformes par la CNIL et que l’existence d’une responsabilité de l’éditeur du site a fait l’objet d’une décision du Conseil d’État, qui précise le périmètre de cette responsabilité (CE, 6 juin 2018, Éditions Croque Futur, n° 412589, Rec.).

35. La formation restreinte relève enfin que sur la base de ces dispositions, elle a déjà adopté plusieurs décisions de sanction.

36. […].

3. Sur la régularité de la présente procédure

37. En premier lieu, la société fait valoir, d’une part, que la rapporteure a refusé la demande d’audition qu’elle lui avait adressée le 13 janvier 2021 et, d’autre part, que la présidente de la CNIL lui a également apporté une réponse défavorable à une demande d’entretien sollicitée le 10 février 2021.

38. S’agissant de la demande d’audition, la formation restreinte relève que la rapporteure y a répondu en expliquant les raisons pour lesquelles elle n’apportait pas une suite favorable à cette demande. La rapporteure a ainsi indiqué qu’elle disposait, au jour de sa réponse, des informations nécessaires à sa compréhension du dossier et qu’elle s’estimait suffisamment éclairée par les investigations réalisées par les services de la CNIL. La formation restreinte rappelle à cet égard que l’audition de l’organisme par le rapporteur est une faculté qui lui est offerte par l’article 39 du décret n° 2019-536 du 29 mai 2019, et non une obligation.

39. S’agissant de la demande adressée à la présidente de la CNIL, la formation restreinte considère qu’il ne lui appartient pas de commenter la décision de la présidente.

40. En deuxième lieu, la société fait valoir que la plainte à l’origine de la procédure n’a pas fait l’objet d’une instruction de la part des services de la CNIL puisque ces derniers n’ont pas effectué de contrôle en ligne avant de solliciter ses observations dans le cadre de l’instruction de cette plainte.

41. La formation restreinte relève qu’il ressort des dispositions de l’article 8, I, 2° d) et g) de la loi "Informatique et Libertés " que la CNIL peut décider à la suite de la réception d’une saisine, en opportunité et en fonction des circonstances de l’espèce, d’effectuer un contrôle ou d’adresser immédiatement un courrier à l’organisme afin de solliciter ses observations. Il n’est en aucun cas obligatoire que des vérifications formelles soient faites par une délégation de contrôle de la CNIL en application de l’article 19 de la loi précitée pour pouvoir procéder à l’instruction d’une plainte dont elle est saisie.

42. En troisième lieu, la société estime que la présidente de la CNIL n’aurait pas tenu compte des éléments de réponse apportés le 18 décembre 2020 par la société aux demandes complémentaires de la délégation de contrôle, puisqu’elle a été informée seulement trois jours plus tard, soit le 21 décembre 2020, de la saisine de la formation restreinte et de la désignation d’un rapporteur en vue du prononcé d’une éventuelle mesure correctrice.

43. La formation restreinte relève d’abord que la décision de la présidente de la CNIL de saisir la formation restreinte - en application de l’article 20 III de la loi "Informatique et Libertés " - et de désigner un rapporteur – conformément à l’article 39 du décret n° 2019-536 du 29 mai 2019 - est prise en tenant compte de l’ensemble des éléments recueillis au cours de la procédure (procès-verbaux de contrôle, pièces, constatations, courriers en réponse aux demandes complémentaires de la délégation de contrôle, etc.) et pas uniquement du seul courrier du 18 décembre 2020, qui a toutefois, selon la rapporteure, été dûment analysé au même titre que l’ensemble des éléments de la procédure.

44. La formation restreinte rappelle ensuite que sa saisine ne constitue pas l’aboutissement de la procédure et qu’elle ne préjuge pas du prononcé d’une mesure correctrice par celle-ci. En effet, les textes applicables organisent la tenue d’une procédure contradictoire, dans le cadre de laquelle l’organisme concerné peut faire valoir ses observations. L’article 40 du décret n° 2019-536 du 29 mai 2019 prévoit ainsi que le mis en cause à qui est notifié un rapport proposant une sanction dispose tout d’abord d’un délai d’un mois pour transmettre ses observations à la formation restreinte et au rapporteur. Lorsque les circonstances de l’espèce ou la complexité de l’affaire le justifient, le président de la formation restreinte peut décider, sur demande du mis en cause, de prolonger, dans la limite d’un mois, ce délai. Ce même article octroie ensuite au responsable de traitement un second délai, d’au moins quinze jours, pour répondre aux observations en réponse du rapporteur. Ces délais sont de nature à garantir le respect des droits de la défense. Enfin, le responsable de traitement peut présenter des observations orales lors de la séance devant la formation restreinte.

45. Dans le cas d’espèce, la formation restreinte considère que la procédure suivie n’a pas privé la société de son droit de se défendre, les dispositions précitées ayant été appliquées. La société a bénéficié d’un délai de plus de cinq semaines pour produire ses observations, le président de la formation restreinte ayant accepté de lui accorder un délai supplémentaire, puis elle a disposé d’un nouveau délai pour produire de nouvelles observations écrites en réponse à celles de la rapporteure et elle a enfin eu la faculté de s’exprimer de nouveau lors de la séance devant la formation restreinte.

46. En dernier lieu, la société fait valoir que la multiplication des contrôles en ligne menés dans le cadre de la procédure a entravé sa capacité à se défendre efficacement. Elle explique que ces nombreux contrôles ont entraîné une situation d’asphyxie et qu’elle n’a plus été en mesure d’assurer sa défense dans des conditions normales. Elle considère donc être placée dans une situation de net désavantage par rapport à la CNIL.

47. La formation restreinte relève que le fait de réaliser plusieurs contrôles sur le site [...].fr ne saurait constituer en soi une atteinte aux droits de la défense. La formation restreinte relève ensuite que la rapporteure indique dans ses écritures que ces contrôles en ligne ont été effectués pour vérifier certains des éléments avancés par la société. En outre, la formation restreinte considère que les contrôles n’ont porté que sur des éléments dont la société est censée avoir la pleine connaissance et la pleine maîtrise, en l’occurrence, son site web. Elle relève enfin que l’ensemble des vérifications ont été menées sur une période de temps relativement longue, - entre le mois de janvier 2020 et le mois de juin 2021 -, et qu’un seul contrôle a été mené après la notification du rapport de sanction sur lequel la société a eu la possibilité de faire valoir ses observations. En conséquence, la formation restreinte considère que la présente procédure et les différentes actions menées dans ce cadre n’ont pas porté atteinte aux droits de la défense de la société et ont respecté le principe du contradictoire.

B. Sur l’existence et l’étendue d’une responsabilité de la SOCIETE [...] s’agissant des cookies déposés depuis son site web

48. Aux termes de l’article 82 de la loi "Informatique et Libertés " , qui constitue la transposition en droit interne de l’article 5(3) de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, "tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ".

49. La rapporteure considère que la SOCIETE [...], en tant qu’elle édite le site web [...].fr, a une part de responsabilité dans le respect des obligations de l’article 82 de la loi "Informatique et Libertés " pour les opérations de lecture et / ou d’écriture d’informations effectuées dans le terminal des utilisateurs lors de la visite de son site web, y compris celles réalisées par des tiers qui sont ses partenaires commerciaux (ci-après "cookie tiers "). Elle souligne que si l’obligation qui incombe à la société est bien une obligation de moyens, il apparaît également clairement qu’en l’espèce, les moyens mis en œuvre par la société ont été insuffisants. De plus, la rapporteure fait valoir que l’analyse qu’elle développe dans son rapport n’est pas nouvelle, qu’elle a été développée au regard de la jurisprudence applicable et que la formation restreinte a déjà sanctionné des manquements à l’article 82 de la loi précitée en lien avec des opérations de lecture et / ou d’écriture d’informations effectuées par des tiers.

50. En défense, la société conteste cette analyse et fait valoir que la présente procédure de sanction violerait le principe de légalité des délits et des peines, garanti à l’article 8 de la Déclaration des droits de l'homme et du citoyen, dès lors qu’il n’existe aucune doctrine de la CNIL ou de l’ensemble des régulateurs européens sur la répartition des responsabilités entre les éditeurs de site et les émetteurs de cookies tiers. Elle fournit à ce titre une synthèse de l’état des réflexions de la CNIL datant de 2017, […], et un courrier de la présidente de la CNIL adressé le 26 mars 2021 au Groupement des éditeurs de contenu et de services en ligne (le GESTE). Elle indique, en outre, que les décisions de sanction de novembre et décembre 2020 à l’encontre des sociétés CARREFOUR BANQUE et AMAZON EUROPE CORE ne sont pas pertinentes en ce qu’elles ne traitent pas de la répartition de la responsabilité entre les éditeurs et les tiers déposant les cookies. Enfin, elle considère qu’en tout état de cause, elle n’est pas responsable des opérations de lecture et / ou d’écriture d’informations effectuées par des tiers sur son site et que la rapporteure met à sa charge une obligation de résultat et non de moyens de respecter les dispositions de l’article 82 de la loi "Informatique et Libertés " alors qu’elle ne dispose pas des possibilités techniques de faire respecter ces dispositions. Ces opérations sont en effet intégralement effectuées par des tiers qui ne respectent pas le signal qu’elle leur transmet en l’absence de consentement de l’utilisateur aux opérations de lecture et / ou d’écriture d’informations sur son terminal. En ce sens, la société soutient que l’ensemble des cookies identifiés dans le rapport comme étant des cookies "internes ", c’est-à-dire déposés par les domaines du site qu’elle édite (www.[...].fr", ".[...].fr " ou "player-video.[...].fr "), sont en réalité déposés par des tiers au moyen d’un code Javascript exécuté par la page du site web de l’éditeur visitée par l’internaute. La société indique que, dans ce cas, elle "n’est pas au courant de l’existence de ce cookie et n’a pas le moyen d’en contrôler le dépôt ou la lecture ". Dès lors, la société estime qu’elle est uniquement responsable de la fourniture d’une information préalable aux utilisateurs de son site [...].fr et des modalités de recueil du consentement des utilisateurs aux opérations de lecture et / ou d’écriture d’informations.

51. En premier lieu, la formation restreinte relève, tout d’abord, que la société n’est pas fondée à soutenir que les obligations qui lui incombent en matière de cookies en tant qu’éditeur de site n’étaient pas identifiées avant la réception du rapport et faisaient l’objet de règles incertaines dans la mesure où ces règles ne sont pas nouvelles. En effet, la formation restreinte souligne à nouveau que les différentes branches du manquement reproché à la société - à savoir le dépôt de cookie sur le terminal de l’utilisateur dès son arrivée sur la page d’accueil du site [...].fr avant toute action de sa part sans recueil du consentement ou après qu’il a exprimé son refus à de telles opérations de lecture et / ou d’écriture de telles informations - ont pour seul fondement juridique les dispositions de l’article 82 de la loi "Informatique et Libertés " qui ont transposé les dispositions relatives aux cookies et traceurs de la directive "ePrivacy ". Elle signale que si ces prescriptions étaient autrefois prévues à l’article 32, paragraphe II, de cette même loi, avant que le texte ne soit refondu dans son ensemble par l’ordonnance n° 2018-1125 du 12 décembre 2018, leur contenu est demeuré inchangé depuis 2011.

52. La formation restreinte rappelle ensuite que le Conseil d’État a jugé (CE, 6 juin 2018, Editions Croque Futur, n° 412589, Rec.), qu’au titre des obligations qui pèsent sur l'éditeur d’un site qui dépose des "cookies tiers ", figurent celle de s'assurer auprès de ses partenaires, d’une part, qu'ils n'émettent pas, par l'intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements. Le Conseil d’État a en particulier jugé que "les éditeurs de site qui autorisent le dépôt et l’utilisation de tels "cookies " par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le "cookie ", notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des "cookies" qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements " (surlignement ajouté).

53. La formation restreinte relève en outre que si les recommandations émises par la formation plénière de la CNIL en matière de cookies ont évolué récemment pour tenir compte des évolutions induites par le RGPD en matière de consentement notamment, ces évolutions n’ont pas d’incidence dans le cas d’espèce et il a continuellement été considéré, comme l’indique la délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978 depuis abrogée, que "lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d'entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l'article 32-II précité [actuel article 82 de la loi du 6 janvier 1978] ". Cette délibération précise qu’il en est ainsi "des éditeurs de sites internet (ou des éditeurs d'application mobile par exemple) et de leurs partenaires (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d'audience...). En effet, dans la mesure où les éditeurs de site constituent souvent l'unique point de contact des internautes et que le dépôt de cookies de tiers est tributaire de la navigation sur leur site, il leur appartient de procéder, seuls ou conjointement avec leurs partenaires, à l'information préalable et au recueil du consentement, explicités à l'article 2 de la présente recommandation ".

54. La formation restreinte relève à cet égard que la société est d’autant moins fondée à invoquer l’argument en lien avec le caractère fluctuant des recommandations que la doctrine de la CNIL sur la répartition des responsabilités entre les éditeurs de site et les émetteurs de cookies tiers a été reprise dans une communication publiée sur le site de la CNIL le 1er octobre 2020.

55. La formation restreinte souligne qu’il ressort de l’ensemble de ces éléments que l’obligation qui incombe à la société est bien une obligation de moyens, et non une obligation de résultat, dont le périmètre n’est pas incertain et a été au contraire précisé tant par le Conseil d’État dans sa décision Editions Croque Futur que par la CNIL dans ses recommandations. La formation restreinte estime que la société n’est pas fondée à soutenir que les obligations qui lui incombent en matière de cookies en tant qu’éditeur de site n’étaient pas identifiées avant la réception du rapport et faisaient l’objet de règles incertaines.

56. La formation restreinte souligne enfin qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires à l’encontre d’éditeurs de site pour des faits relatifs aux opérations de lecture et / ou d’écriture d’informations, y compris par des tiers, dans le terminal des utilisateurs visitant leur site, notamment dans la délibération n°SAN-2020-009 du 18 novembre 2020 à l’encontre de la société CARREFOUR BANQUE ou dans la délibération n°SAN-2020-013 du 7 décembre 2020 concernant la société AMAZON EUROPE CORE. Elle considère dès lors, à l’inverse de la société, que ces décisions sont pertinentes et rendent compte de la responsabilité d’éditeurs de sites web en lien avec le dépôt de cookies par des tiers.

57. En deuxième lieu, s’agissant de la responsabilité associée aux cookies déposés par des tiers sous le nom de domaine du site [...].fr, la formation restreinte relève que, pour que des opérations de lecture et / ou d’écriture d’informations puissent être effectuées par des tiers sous les noms de domaine de la société, ceci n’est en principe rendu possible que par l’inclusion par la société d’un fragment de code Javascript sur son site permettant aux tiers de déposer ou non un cookie.

58. La formation restreinte considère qu’il s’ensuit que deux cas de figure sont possibles : soit l’inclusion de ces fragments de code Javascript dans les pages qu’elle distribue sous ses noms de domaine est effectuée à l’initiative de la société ou avec son accord, auquel cas, la société en est à l’origine ou en a pleinement connaissance, soit la société soutient qu’elle ne peut contrôler l’inclusion de ces fragments de code Javascript dans les pages qu’elle distribue sous ses noms de domaine, auquel cas cela attesterait d’une vulnérabilité majeure du site [...].fr. Dès lors, la formation restreinte considère que dans l’un ou l’autre de ces deux cas, la société n’est pas fondée à soutenir qu’aucune responsabilité ne lui incombe en l’espèce.

59. Enfin, si la formation restreinte prend acte de ce que ces cookies ne peuvent être qualifiés de cookies "internes ", elle considère cependant que cela n’exonère pas la société de sa part de responsabilité, cette dernière devant s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable et devant effectuer les démarches nécessaires pour faire cesser le manquement constaté, comme cela a été décrit précédemment.

60. En troisième lieu, s’agissant de l’obligation de moyens incombant à la société, la formation restreinte considère que reconnaître l’existence d’une responsabilité des tiers déposant des cookies sur le site de la société en l’absence de consentement des internautes ne dédouane pas l’éditeur du site – en l’espèce, la SOCIETE [...] - de sa propre responsabilité liée aux opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs naviguant sur son site, dans la mesure où cette dernière a la maîtrise de son site et de ses serveurs, lui permettant ainsi de respecter les obligations qui lui incombent, à savoir, s'assurer que ses partenaires n'émettent pas, par l'intermédiaire de son site, des "cookies " qui ne respectent pas la règlementation applicable en France, et effectuer les démarches nécessaires pour faire cesser le manquement constaté. La formation restreinte considère dès lors que cette responsabilité – consistant en une obligation de moyens et non de résultat - justifie que la société soit visée par la présente procédure.

61. En conséquence, la formation restreinte considère que, contrairement à ce qu’affirme la SOCIETE [...], le périmètre de la responsabilité de cette dernière existe sous la forme d’une obligation de moyens de s’assurer que ses partenaires n’émettent pas, par l’intermédiaire de son site, des cookies en violation de la réglementation applicable en France.

62. Il appartient dès lors à la formation restreinte d’apprécier au cas d’espèce si la société a mis en œuvre suffisamment de diligences pour considérer qu’elle a rempli son obligation de moyens.

C. Sur la caractérisation du manquement à l’article 82 de la loi "Informatique et Libertés "

63. Ainsi qu’il l’a été rappelé au point 48, l’article 82 de la loi "Informatique et Libertés " constitue la transposition en droit interne de l’article 5(3) de la directive "ePrivacy ".

64. Au regard des dispositions de l’article 82 de la loi, la rapporteure estime en substance que les constatations mettent en exergue deux séries de négligences importantes de la SOCIETE [...] en matière d’utilisation des cookies, relatives :

- au dépôt de cookies à finalité publicitaire par des partenaires sur le terminal de l’utilisateur lorsque celui-ci se rend sur le site [...].fr, avant toute action de sa part et sans recueil de son consentement ;

- à l’impossibilité pour l’utilisateur de refuser de manière effective le dépôt des cookies à finalité publicitaire par des partenaires sur son terminal bien qu’il en ait exprimé le souhait.

65. La rapporteure relève que les services de la CNIL ont effectué cinq opérations de contrôle en ligne et, qu’à chacune de ces vérifications, il a été constaté que des cookies à finalité publicitaire étaient déposés sur le terminal de l’internaute sans le recueil de son consentement dès son arrivée sur la page d’accueil du site [...].fr et avant toute action de sa part. La rapporteure considère qu’au regard de ces vérifications, les moyens mis en œuvre par la société pour éviter le dépôt de cookies à finalité publicitaire par des partenaires en méconnaissance des règles applicables sont insuffisants. La rapporteure considère également que le dépôt de tels cookies à finalité publicitaire dès l’arrivée de l’utilisateur sur le site [...].fr et avant toute action de sa part, empêche nécessairement ce dernier d’exprimer valablement son consentement. Elle rappelle que la loi "Informatique et Libertés " prévoit expressément que ces opérations, sauf exceptions, ne peuvent avoir lieu qu’après que ce dernier a exprimé son consentement.

66. La rapporteure estime ensuite qu’au regard des contrôles en ligne effectués les 9 septembre 2020 et le 18 février 2021, le dispositif mis en place par la SOCIETE [...] pour refuser le dépôt et ou la lecture d’informations à finalité publicitaire sur le terminal de l’utilisateur apparait également défaillant puisque plusieurs opérations de lecture et / ou d’écriture d’informations à finalité publicitaire ont eu lieu dans l’équipement terminal de l’utilisateur par des partenaires de la société, après qu’il a exprimé son refus et navigué vers une autre page du site [...].fr, ce qui prive d’effet le refus de l’utilisateur, en violation des exigences de l’article 82 de loi "Informatique et Libertés ".

67. En défense, la société développe deux séries d’arguments. La première est relative aux cookies concernés par la présente procédure et les constats effectués par la délégation de contrôle, qui comporteraient des erreurs. La seconde est relative à l’absence de responsabilité de la société s’agissant des faits qui lui sont reprochés. Elle indique en effet que l’ensemble des opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs visitant le site [...].fr mentionnées dans le rapport et pour lesquelles le consentement ou le refus des utilisateurs n’a pas été pris en compte est le fait de tiers et ne relève pas de sa responsabilité. La société ajoute qu’en tout état de cause elle considère avoir rempli son obligation en lien avec l’article 82 de la loi "Informatique et Libertés ", qui constitue une obligation de moyens en mettant en œuvre plusieurs outils, à savoir une plateforme de gestion du consentement, un outil de veille et l’émission d’un signal de refus auprès des tiers qui procèdent aux opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs lors de leur navigation sur le site [...].fr.

1. Sur les cookies en cause et constats réalisés par la délégation de contrôle de la CNIL

68. La rapporteure estime que les vérifications effectuées par les services de la CNIL se sont déroulées dans le cadre des procédures fixées par la loi "Informatique et Libertés " et de son décret d’application et qu’ils ont permis de constater, à chacune des opérations de contrôle, le dépôt (opération "d’écriture / d’inscription d’information ") et / ou la lecture (opérations de "lecture / d’accès aux informations ") de cookies sur le terminal de l’utilisateur.

69. En défense, la société estime que les constats effectués par les services de la CNIL comportent des erreurs.

70. En premier lieu, la société relève une erreur matérielle, à savoir qu’un cookie nommé "[…] " a été identifié à tort dans le rapport de sanction comme étant déposé par le domaine "[…] " alors qu’il a été déposé par le domaine "[…] ".

71. La formation restreinte relève qu’il s’agit en effet d’une erreur, contenue dans le rapport de sanction, mais qui ne rétroagit pas sur les constats effectués par la délégation et la caractérisation du manquement dans la mesure où la délégation a bien constaté le dépôt de ce cookie "[…]", qui est un cookie à finalité publicitaire, en l’absence de consentement de l’utilisateur, et l’erreur liée au nom de domaine associé à ce cookie n’a aucune incidence sur sa finalité et sur le fait qu’il soit déposé sans le consentement de l’utilisateur.

72. En deuxième lieu, tout en ne remettant pas en cause la finalité publicitaire du cookie dénommé "[…]" déposé par le domaine "[…] ", des cookies dénommés "[…]" et "[…]" déposés par le domaine "[…] " et du cookie dénommé "[…] " déposé par les domaines "www.[...].fr " et "player-video.[...].fr " dans le terminal de l’internaute lors de l’arrivée sur le site [...].fr, la société fait valoir que, dans la mesure où ces derniers sont des cookies ayant une durée de vie limitée, correspondant pour la plupart à la durée de vie de la session de l’utilisateur, ils ne nécessitent pas le consentement de l’utilisateur préalablement à leur dépôt sur le terminal de ce dernier.

73. La formation restreinte relève que, conformément à l’article 82 de la loi "Informatique et Libertés ", seuls les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou les cookies étant strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur sont exemptés de l’obligation de recueil de consentement préalable à leur dépôt. Il s’agit des cookies techniques sans lesquels un site web ne pourrait pas fonctionner ou, par exemple, les cookies de paniers d’achats sans lesquels un utilisateur ne pourrait pas valider une commande. Dès lors, la formation restreinte estime qu’il ne peut être considéré que la durée de vie d’un cookie soit un critère d’exemption défini par la loi. Au contraire, seule la finalité peut l’être ou le fait que le traceur soit strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

74. La formation restreinte considère en conséquence que la durée de vie des cookies est sans influence sur le fait qu’ils poursuivent une finalité publicitaire et qu’ils ne peuvent, dès lors, être considérés comme ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou comme étant strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

75. Dès lors, la formation restreinte relève que, pour ces cookies à finalité publicitaire ayant la durée de vie d’une session, la société ne doit pas permettre leur dépôt sur le terminal des utilisateurs lors de l’arrivée sur le site [...].fr, avant toute action de leur part et en l’absence de recueil de leur consentement, sauf à méconnaître ses obligations résultant de l’article 82 de la loi "Informatique et Libertés ".

76. En troisième lieu, la société s’interroge sur "l’intégrité des opérations de contrôles " effectuées le 18 février 2021. Elle soutient que le cookie "[…] " déposé par le domaine "[…] " et le cookie "[…] " déposé par le domaine "[…] " malgré le refus de l’utilisateur au dépôt de cookies à finalité publicitaire, ne figurent pas dans le fichier HAR, permettant de prouver qu’ils continuent d’être lus. En d’autres termes, la société fait valoir que le fait qu’un cookie soit transporté par une requête http ne signifie pas pour autant que ce cookie est nécessairement lu par le domaine vers lequel la requête http est faite. Elle note également que la rapporteure elle-même reconnaît que la méthodologie employée par la délégation de contrôle ne permet pas de capturer de façon exhaustive toutes les requêtes http transportant un cookie. Elle considère donc que les constatations effectuées par la CNIL s’agissant de ces cookies ne permettent pas d’attester qu’ils ont été lus. Par ailleurs, la société considère qu’il ne peut être déduit qu’un cookie dont la présence n’a pas été constatée dans un fichier HAR a bien été déposé sur le terminal d’un utilisateur.

77. La formation restreinte relève d’abord, s’agissant du cookie "[…] " déposé par le domaine "[…] ", qu’il ne figure pas dans les écrits de la rapporteure proposant à la formation restreinte de prononcer une sanction à l’encontre de la société et qu’il n’entre dès lors pas dans le champ de la présente procédure.

78. La formation restreinte rappelle ensuite que les dispositions de l’article 82 de la loi "Informatique et Libertés " imposent, sauf exceptions, le recueil du consentement avant toute action visant à inscrire des informations ou à accéder à des informations déjà stockées dans l’équipement terminal d’un utilisateur. La formation restreinte considère que, contrairement à ce qui est avancé par la société, la seule opération d’inscription d’informations dans le terminal de l’utilisateur (en l’espèce le dépôt de cookies à finalité publicitaire), avant toute action de sa part ou malgré son refus, est suffisante pour caractériser l’existence d’un manquement à l’article 82 de la loi "Informatique et Libertés ".

79. La formation restreinte relève en ce sens que la délégation de contrôle a procédé aux constatations sur le site [...].fr en deux étapes. La première consiste à identifier quels cookies ont été déposés sur le terminal de l’utilisateur (opérations "d’écriture / d’inscription d’informations "). La seconde étape consiste à identifier quels cookies ont envoyé des informations vers le domaine qui les a déposés (opérations de "lecture / d’accès aux informations "). Ces informations sont compilées lors du contrôle dans un fichier dénommé "HAR " qui contient les requêtes HTTP liées aux pages visitées par l’internaute durant sa navigation. Ce fichier vient en complément des pièces collectées par la délégation, prenant copie du nombre de cookies déposés dans l’équipement terminal de l’utilisateur et permettant d’attester, durant un laps de temps donné, que des cookies sont lus.

80. Ainsi, s’agissant du cookie "[…] " à finalité publicitaire dont le dépôt par le domaine […]" a été constaté lors du contrôle du 18 février 2021 après le refus puis la navigation de l’utilisateur, la formation restreinte observe que la rapporteure n’a pas indiqué dans ses écrits, contrairement à ce que la société semble avancer en défense, que ce cookie figurait dans le fichier HAR, permettant ainsi de prouver qu’il était lu. En revanche, la rapporteure a indiqué dans ses écrits qu’il ressort des constats effectués que ce cookie a été déposé sur le terminal de l’utilisateur alors que ce dernier n’avait pas donné son consentement. Ainsi, s’il est exact que le fichier HAR ne rapporte pas en l’espèce, comme en attestent d’autres pièces de la procédure, la preuve d’une opération de lecture de ce cookie dans le terminal de l’utilisateur, il n’en demeure pas moins que la délégation de contrôle a constaté son dépôt sur le terminal de ce dernier alors qu’il avait refusé de donner son consentement à un tel dépôt.

81. En conséquence, la formation restreinte considère que, contrairement à ce qui est avancé par la société, la seule opération de dépôt d’informations à finalité publicitaire, avant toute action de l’utilisateur ou malgré son refus, est suffisante pour caractériser l’existence d’un manquement à l’article 82 de la loi "Informatique et Libertés ".

82. S’agissant du cookie "[…] " à finalité publicitaire, dont le dépôt a été constaté lors du contrôle du 18 février 2021 par le domaine de validité www.[...].fr lors de l’arrivée de l’internaute sur le site web et avant toute action, la formation restreinte relève, d’une part, que celui-ci demeurait stocké sur l’équipement terminal de l’utilisateur après qu’il eut exprimé son refus et navigué vers une autre page du site [...].fr et, d’autre part, que le fichier "HAR " a permis de rapporter la preuve que le contenu de ce cookie continuait d’être lu. La formation restreinte considère que, s’agissant de ce cookie, la délégation a bien constaté son dépôt puis sa lecture.

83. Dès lors, la formation restreinte considère, d’une part, que les constatations ont été effectuées dans le respect de la procédure applicable et, d’autre part, que ces constatations permettent de caractériser un manquement à l’article 82 de la loi "Informatique et Libertés ". Il appartient dès lors à la formation restreinte d’apprécier au cas d’espèce si la société a mis en œuvre suffisamment de diligences pour considérer qu’elle a rempli son obligation de moyens.

2. Sur les moyens mis en œuvre par la société pour satisfaire ses obligations

84. La rapporteure considère qu’au regard de chacune des vérifications effectuées par les services de la CNIL, les moyens mis en œuvre par la société pour éviter le dépôt et la lecture de cookies à finalité publicitaire par des partenaires en méconnaissance des règles applicables sont insuffisants, que ce soit dès l’arrivée de l’utilisateur sur le site ou après qu’il ait exprimé son refus. La société a ainsi méconnu ses obligations au regard de l’article 82 de loi "Informatique et Libertés ".

85. En défense, la société indique que l’ensemble des opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs visitant le site [...].fr mentionnées dans le rapport et pour lesquelles le consentement ou le refus des utilisateurs n’a pas été pris en compte est le fait de tiers et ne relève pas de sa responsabilité. Outre le fait de dispenser une information et des modalités de recueil du consentement satisfaisantes, la société ajoute qu’elle remplit son obligation en lien avec l’article 82 de la loi "Informatique et Libertés ", qui constitue une obligation de moyens, en mettant en œuvre trois solutions. Elle indique d’abord avoir mis en place une plateforme de gestion du consentement qu’elle qualifie "d’avant-gardiste ". Elle indique ensuite avoir développé un outil de veille destiné à identifier les cookies déposés par des tiers en violation de la réglementation pour ensuite effectuer les démarches nécessaires auprès de ces derniers. Sur ce point, la société ajoute que cet outil de surveillance a été principalement conçu pour le navigateur Chrome, car son usage serait le plus répandu parmi ses utilisateurs. Elle indique que cet outil ne détecterait en revanche pas le dépôt de certains cookies sur le terminal des utilisateurs visitant le site au moyen du navigateur Firefox. La société relève que les constatations de la CNIL ont été réalisées à partir de ce navigateur, qui serait très peu utilisé par les internautes visitant le site [...].fr. La société précise que c’est en particulier le cas s’agissant du cookie dénommé "[…] " dont le dépôt par le domaine "[…] " a été constaté lors de son contrôle du 25 novembre 2020, effectué au moyen du navigateur Firefox. La société précise qu’elle se "fonde volontairement " sur le navigateur Chrome car les visiteurs du site [...].fr ne sont en moyenne que 4,42 % à utiliser le navigateur Firefox. Enfin, la troisième solution évoquée, mise en œuvre par la société jusqu’au 15 août 2020, consistait à émettre un signal de refus temporaire, en l’absence d’acte de navigation ou de refus des cookies par un utilisateur, "afin que les tiers ne puissent pas se prévaloir d’une telle inaction ou silence pour déposer des cookies publicitaires ". Enfin, la société considère que la rapporteure impose une obligation de résultat, qui revient in fine à empêcher les éditeurs de site de recourir aux cookies pour afficher de la publicité, laquelle représente une part importante de leurs revenus.

86. A titre liminaire, la formation restreinte rappelle, comme elle l’a exposé aux points 48 à 62, qu’elle considère que la société n’est pas fondée à soutenir qu’aucune obligation ni aucune responsabilité ne lui incombent quant aux opérations effectuées par des tiers tendant à accéder à des informations déjà stockées dans l’équipement terminal de communications électroniques des utilisateurs, ou à inscrire des informations dans cet équipement, sans leur consentement, lorsqu’ils visitent son site, dès lors qu’elle transmet un signal auxdits tiers pour les informer de l’absence de consentement de ces derniers.

87. En effet, dans le périmètre de sa responsabilité en tant qu’éditeur de site et en cas de dépôt de cookies par des émetteurs tiers, la formation restreinte considère qu’il revient à la société de satisfaire à différentes obligations en lien avec l’article 82 de la loi "Informatique et Libertés " et en particulier, comme l’a jugé le Conseil d’État, de "s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des "cookies " qui ne respectent pas la règlementation applicable en France et d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements ".

88. En l’espèce, en premier lieu, la formation restreinte souligne que les services de la CNIL ont réalisé cinq opérations de contrôle et qu’à chacune de ces vérifications, il a été constaté que des cookies à finalité publicitaire étaient déposés sur le terminal de l’internaute sans le recueil de son consentement dès son arrivée sur la page d’accueil du site [...].fr et avant toute action de sa part.

89. Ainsi, s’agissant des cookies dénommés "tb_t_ppg " et "tb_sess_r " déposés par le domaine de validité "www.[...].fr " ayant pour finalité la diffusion de publicité ciblée, la délégation a constaté son dépôt sur le terminal de l’utilisateur lors de son arrivée sur le site [...].fr et avant toute action de sa part lors des opérations de contrôle des 14 janvier 2020 et 9 septembre 2020. La formation restreinte en déduit que ce cookie aura été déposé sans action de la part de l’utilisateur et en l’absence de consentement pendant a minima deux opérations de contrôle et huit mois.

90. S’agissant du cookie dénommé "[…] " déposé par le domaine "www.[...].fr " ou le domaine "player-video.[...].fr " ayant pour finalité la diffusion de publicité ciblée, son dépôt a été constaté lors des quatre autres opérations de contrôle des 14 janvier 2020, 9 septembre 2020, 25 novembre 2020 et 18 février 2021. La formation restreinte en déduit que ce cookie aura été déposé sans action de la part de l’utilisateur et en l’absence de consentement pendant a minima quatre opérations de contrôle et un an.

91. Enfin, s’agissant du cookie dénommé "[…] " déposé par le domaine "[…] " ou le domaine "[…] " pour lequel la société a indiqué qu’il avait pour finalité la "publicité ciblée ", la délégation a constaté son dépôt lors de l’arrivée de l’utilisateur sur le site [...].fr et avant toute action de sa part lors de trois des cinq opérations de contrôle effectuées les 14 janvier, 9 septembre et 25 novembre 2020. La formation restreinte en déduit que ce cookie aura été déposé sans action de la part de l’utilisateur et en l’absence de consentement pendant a minima trois opérations de contrôle et dix mois. La formation restreinte relève que ce traceur est déposé par l’organisme "[…] ", qui a été contacté à plusieurs reprises par courriel par la société pour avoir effectué des opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs visitant le site [...].fr en violation des règles applicables, sans pour autant qu’une mesure soit rapidement prise pour mettre fin au dépôt récurrent de ce cookie en particulier.

92. Dès lors, la formation restreinte considère qu’au regard de ces constats, les moyens mis en œuvre par la société sont manifestement insuffisants pour respecter les dispositions de l’article 82 de la loi "Informatique et Libertés ".

93. En deuxième lieu, la formation restreinte observe d’abord que, pour répondre à l’argument soulevé en défense par la société - selon lequel la délégation de la CNIL aurait effectué à tort ses constatations uniquement à partir d’un navigateur Firefox, alors qu’aucun cookie ou autre traceur ne serait déposé en contravention des règles applicables lorsque l’internaute se rend sur le site au moyen du navigateur Chrome - les services de la CNIL ont procédé à de nouvelles constatations le 1er juin 2021. La formation restreinte relève qu’à cette occasion, la délégation a constaté, tant sur le navigateur Chrome que sur le navigateur Firefox et à partir d’un historique de navigation vierge, le dépôt dans l’espace de stockage en local du navigateur d’un traceur nommé "[…] " et contenant un identifiant unique dès l’arrivée de l’utilisateur sur la page d’accueil du site [...].fr et avant toute action de sa part.

94. La formation restreinte relève ensuite qu’après que l’utilisateur a manifesté son refus au dépôt des cookies, les services de la CNIL ont constaté la présence de requêtes contenant l’identifiant de ce traceur et la page visitée par ce dernier, à destination du domaine "[…] ", identifié par la société comme un domaine en lien avec la diffusion de publicité ciblée. Dès lors, la formation restreinte relève que ces constats démontrent l’existence d’opérations effectuées par des tiers tendant à accéder à des informations déjà stockées dans l’équipement terminal des utilisateurs, ou à inscrire des informations dans cet équipement, en violation du refus exprimé par les utilisateurs, que celui-ci navigue au moyen des navigateurs Firefox ou Chrome.

95. Ainsi qu’il l’a été mentionné au point 91, la formation restreinte relève à nouveau que ce traceur est relatif à l’organisme "[…] ", qui a été contacté à plusieurs reprises par courriel la société pour avoir effectué des opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs visitant le site [...].fr en violation des règles applicables.

96. En conséquence, la formation restreinte considère qu’il s’ensuit que, tant sur le navigateur Firefox que sur le navigateur Chrome, les outils et moyens mis en œuvre par la société, à savoir une plateforme de gestion du consentement, un outil de veille et l’émission d’un signal de refus sont manifestement insuffisamment efficaces et ne permettent pas de faire cesser le manquement.

97. En troisième lieu, s’agissant du paramétrage de l’outil de veille mis en œuvre par la société qui contrôle uniquement les cookies déposés en violation des règles applicables lors de la navigation pour les utilisateurs au moyen du navigateur Chrome (ce qui correspond à […] des utilisateurs du site, selon la société), la formation restreinte relève d’abord que, parmi les […] de visiteurs en moyenne par mois du site internet [...].fr, l’outil tel qu’il est paramétré ne permet pas de s’assurer du respect des règles applicables par les partenaires pour, a minima, environ […] de ses utilisateurs qui ont recours au navigateur Firefox (ce qui correspond à […] des utilisateurs du site, selon la société). La formation restreinte précise que ce nombre semble en outre être une hypothèse basse, compte tenu de l’existence d’autres navigateurs que les deux susmentionnés, que les internautes peuvent utiliser pour se rendre sur le site [...].fr. En ce sens, le navigateur Chrome n’étant utilisé, d’après la société, que par environ 45 % des utilisateurs du site, la formation restreinte en déduit donc qu’environ 55 % des utilisateurs de ce site ne sont pas concernés par cet outil. La formation restreinte considère enfin qu’un outil qui détecte si des cookies sont déposés dès l’arrivée de l’utilisateur sur un site et avant toute action ne présente pas, dans son principe, de difficulté particulière à mettre en œuvre. La CNIL propose ainsi l’outil de visualisation dénommé "Cookieviz " en accès libre pour mesurer l'impact des cookies et autres traceurs lors de la navigation d’un utilisateur, et plusieurs autres outils gratuits sont disponibles par ailleurs sur le marché. Si la formation restreinte considère que le dispositif mis en œuvre par la société est sans doute adapté à ses besoins et au fonctionnement de son site, il ne semble pour autant pas hors de portée d’avoir un outil qui fonctionne avec les principaux navigateurs.

98. La formation restreinte rappelle ensuite que même avec cet outil de veille, le non-respect des règles applicables a également été constaté sur le navigateur Chrome, comme en attestent les constatations effectuées le 1er juin 2021. En conséquence, la formation restreinte observe qu’il ressort de ces constats que des opérations de lecture et d’écriture d’une information sur le terminal de l’utilisateur sont effectuées en violation des règles applicables – en l’espèce, malgré le refus de l’utilisateur -, que celui-ci navigue au moyen de Firefox ou de Chrome. En tout état de cause, la formation restreinte rappelle que les obligations résultant de l’article 82 de la loi "Informatique et Libertés " doivent s’appliquer indépendamment du navigateur utilisé par le visiteur du site [...].fr, ce qui n’est manifestement pas le cas en l’espèce.

99. Dès lors, la formation restreinte considère que l’outil de veille mis en œuvre par la société, qui n’est paramétré que pour effectuer un contrôle à partir du navigateur Chrome et qui concerne donc moins de la moitié des utilisateurs du site, est un moyen manifestement insuffisant pour s’assurer du respect des dispositions de l’article 82 de la loi "Informatique et Libertés ".

100. En quatrième lieu, la formation restreinte considère d’abord que c’est bien l’éditeur du site - en l’espèce la SOCIETE [...] -, qui choisit ses partenaires et les autorise, à la fois juridiquement et par le codage informatique du site, à déposer des cookies sur les terminaux des utilisateurs. Si la société fait valoir que le fonctionnement de son site ne lui permet pas de bloquer les cookies déposés par des tiers, la formation restreinte relève que cela résulte d'un choix technique qu'elle a fait, d'autres choix permettant d'offrir une plus grande maîtrise du site à l'éditeur. Si la formation restreinte ne remet pas en cause ce choix technique, elle considère que celui-ci n'exonère pas la société de sa responsabilité et qu'il lui appartient de mettre en place des moyens en phase avec le choix qu'elle a opéré, tant dès l’arrivée de l’utilisateur sur le site qu’après avoir exprimé son refus.

101. Ainsi et en complément de ce qui précède, la formation restreinte observe que c’est bien la SOCIETE [...], en ayant le contrôle sur son site et en permettant que des opérations de lecture et / ou d’écriture d’informations puissent être effectuées par des tiers sous ses noms de domaine, qui peut, en l’espèce, décider si l’un de ses partenaires ne respecte pas la réglementation, de mettre en œuvre tous les moyens nécessaires pour faire cesser le manquement, puis, en dernier recours, de mettre fin à la relation du contrat ou d’engager des actions à son encontre.

102. La formation restreinte considère ensuite que, lorsqu’une société constate qu’un de ses partenaires continue d’effectuer de telles opérations en violation des règles applicables malgré les outils qu’elle a mis en œuvre pour éviter cette situation et ses demandes ultérieures pour que de telles violations ne se reproduisent plus, il lui appartient d’envisager les différents moyens juridiques à sa disposition qui sont nécessaires pour faire cesser ces manquements, en prévoyant par exemple contractuellement la possibilité d’engager des actions contre ses partenaires et en l’activant (par exemple une action en responsabilité ou la suspension temporaire du contrat jusqu’au respect de ses engagements par le partenaire), et, en dernier recours, en appréciant l’opportunité de mettre un terme aux relations commerciales. Or, la formation restreinte relève au titre des moyens mobilisés que, si la société a mis en œuvre des outils et a contacté certains de ses partenaires, il n’en demeure pas moins qu’un manquement à l’article 82 de la loi "Informatique et Libertés " a perduré pendant plusieurs mois s’agissant de certains cookies, notamment s’agissant des opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs visitant le site [...].fr relatives à l’organisme "[…] ". La formation restreinte estime que ce manquement est aggravé par le fait que le comportement des partenaires ne s’effectue pas à l’insu de la société puisque tout un chacun, et a fortiori la société, a la possibilité de vérifier les cookies et traceurs déposés sur un site. Au demeurant, la formation restreinte estime que pour que les règles relatives aux opérations de lecture et / ou écriture d’informations dans le terminal des utilisateurs visitant un site soient appliquées et respectées, chacun des acteurs doit s’acquitter à son niveau de ses obligations, et s’assurer du respect des règles ou prendre les mesures nécessaires pour faire cesser tout manquement, au risque sinon que ces règles ne soient pas respectées, chaque acteur rejetant sa propre responsabilité sur les autres. La formation restreinte considère en outre que souscrire à l’analyse selon laquelle la société n’aurait aucune responsabilité dans les opérations de lecture et / ou d’écriture d’informations effectuées par des tiers dans le terminal des utilisateurs visitant le site [...].fr reviendrait à accepter que la société n’ait aucune maîtrise de son site et qu’elle ne soit en rien responsable des opérations réalisées sur son site tant qu’elle met en œuvre des outils – en l’espèce une plateforme de gestion du consentement, un outil de veille et l’émission d’un signal de refus, qui sont au demeurant manifestement inefficaces – et qu’elle effectue des démarches auprès de ses partenaires, indépendamment des effets réels de ces démarches.

103. Enfin, il résulte de tout ce qui précède que la formation restreinte n’impose pas une obligation de résultat qui empêcherait la société de recourir aux opérations de lecture et / ou d’écriture pour diffuser de la publicité sur son site mais qu’elle impose en revanche une obligation de moyens qui implique qu’une mise en conformité puisse être atteinte par la mise en œuvre d’un ensemble d’aménagements nécessaires. La formation restreinte considère en l’espèce que la société ne satisfait pas à cette obligation de moyens.

104. Dès lors, au vu de tout ce qui précède, la formation restreinte considère que la société a méconnu ses obligations au regard de l’article 82 de la loi "Informatique et Libertés " en permettant le dépôt de cookies sur le terminal des utilisateurs avant toute action de leur part et en privant d’effet leur refus au dépôt et / ou à la lecture des cookies soumis à consentement. La société a manqué à ses obligations en ne s’assurant pas que ses partenaires n'émettent pas, par l'intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable et en n’effectuant pas les démarches nécessaires pour faire cesser le manquement constaté.

III. Sur les mesures correctrices et la publicité

105. Aux termes de l’article 20, paragraphe III, de la loi "Informatique et Libertés " :

"Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant (…) de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 ".

106. En premier lieu, s’agissant du prononcé d’une mesure correctrice, la société fait valoir en défense qu’elle n’est pas responsable du traitement en cause et que la formation restreinte devrait l’exonérer de toute responsabilité et ne pas prononcer de mesure correctrice. Elle critique d’autant plus l’engagement de la procédure de sanction au regard de l’incertitude juridique qui entoure à son sens la règlementation en matière de cookies et traceurs.

107. La formation restreinte rappelle d’abord, comme il a été démontré dans le cadre des écrits de la rapporteure et rappelé ci-avant, que cette analyse n’est pas nouvelle, qu’elle a été validée par la jurisprudence et que la formation restreinte a déjà pris des décisions comprenant un manquement à l’article 82 de la loi précitée en lien avec des opérations de lecture et / ou d’écriture d’informations effectuées par des tiers dans le terminal des utilisateurs.

108. La formation restreinte rappelle ensuite qu’elle doit tenir compte, pour le prononcé d’une amende administrative, de critères tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.

109. S’agissant de la nature du traitement et au regard du rôle central joué par les cookies et autres traceurs dans les procédés de ciblage publicitaire, la formation restreinte relève que la gravité du manquement est caractérisée par le fait qu’en ne respectant pas les exigences de l’article 82 de la loi "Informatique et Libertés ", les utilisateurs ont été privé du choix qu’ils doivent pouvoir exprimer quant aux modalités selon lesquelles leurs données personnelles seront utilisées. De plus, la formation restreinte rappelle que les services de la CNIL ont réalisé cinq opérations de contrôle répartis sur une période de dix-huit mois et, qu’à chacune de ces vérifications, il a été constaté que des cookies à finalité publicitaire étaient déposés sur le terminal de l’internaute sans le recueil de son consentement, dès son arrivée sur la page d’accueil du site [...].fr et avant toute action de sa part, ainsi qu’après avoir exprimé son refus, ce qui atteste bien du non-respect des règles applicables par la société, pendant une durée importante.

110. S’agissant de la portée du manquement, la formation restreinte souligne que la SOCIETE [...] est un acteur particulièrement important du monde médiatique, dont le site web est notoirement connu et édité depuis de nombreuses années, puisque le nom de domaine a été déposé en août 1996. En outre, le site [...].fr compte 24,5 millions de visiteurs en moyenne par mois, pour les douze derniers mois de l’année en 2020, et a été classé, en janvier 2021, au deuxième rang des 199 sites web "fixes " (c’est-à-dire des sites dont le contenu ne varie pas en fonction des caractéristiques de la demande) les plus fréquentés.

111. Enfin, la formation restreinte relève que les mesures mises en place lors de la procédure de sanction n’exonèrent pas la société de sa responsabilité pour le passé au vu du manquement à l’article 82 de la loi "Informatique et Libertés " constaté.

112. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard du manquement à l’article 82 de la loi "Informatique et Libertés ".

113. En deuxième lieu, s’agissant du montant de l’amende administrative proposé par la rapporteure, la société fait valoir que le montant de l’amende proposée est disproportionné et que le manquement précité ne constitue en aucun cas une violation délibérée de l’article 82 de la loi "Informatique et Libertés ". La société reproche ensuite à la rapporteure de ne pas tenir compte du résultat net déficitaire de la société et de ce que le chiffre d’affaires lié à la publicité digitale ne représente que […] du chiffre d’affaires global de la société en 2019 et […] du chiffre d’affaires global de la société en 2020.

114. La formation restreinte rappelle d’abord, à titre général, que l’article 20, paragraphe III, de la loi "Informatique et Libertés " lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d'affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement.

115. La formation restreinte rappelle ensuite que les amendes administratives doivent être dissuasives mais proportionnées. Elle considère en particulier que l’activité de la société, les moyens mis en œuvre par la société pour se mettre en conformité et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’un chiffre d’affaires, pour l’année 2019, de […] euros pour un résultat net […] euros. A la fin de l’année 2020, la société fait état d’un chiffre d’affaires provisoire d’environ […] euros, pour un résultat net […] euros. Elle relève en outre que la société a tiré du manquement commis un avantage financier certain puisque qu’une partie des revenus de la société sont liés aux activités publicitaires réalisées sur son site web.

116. Dès lors, au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 50 000 euros apparaît justifié, pour le manquement à l’article 82 de la loi "Informatique et Libertés ".

117. En dernier lieu, s’agissant de la publicité de la décision, la société estime qu’elle n’est pas nécessaire, qu’elle n’emporterait aucun effet pédagogique et que d’autres moyens pourraient permettre à la formation restreinte d’atteindre cet objectif.

118. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées. La formation restreinte estime notamment que cette mesure permettra d’alerter les utilisateurs, dans la mesure où les cookies litigieux étaient déposés à leur insu, de la nature des manquements en cause.

119. Enfin, la formation restreinte considère que la mesure n’est pas disproportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer à l’encontre de la SOCIETE [...] une amende administrative d’un montant de 50 000 (cinquante mille) euros pour le manquement à l’article 82 de la loi "Informatique et Libertés " ;

• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les sociétés à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page