L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l’article 6 de cette même loi.

Une société offrant des services par l'intermédiaire d'une page fan hébergée sur Facebook peut obtenir des données statistiques anonymes sur les visiteurs de ces pages, à l'aide d'une fonction « Facebook Insight » mise gratuitement à sa disposition par Facebook, selon des conditions d'utilisation non modifiables. Ces données sont collectées grâce à des cookies comportant chacun un code utilisateur unique, actifs pendant 2 ans et sauvegardés par Facebook sur le disque dur de l'utilisateur visiteur. Ce code peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook et être collecté et traité au moment de l'ouverture des pages fans.

Si la Cour relève que le réseau social et sa filiale irlandaise doivent être regardés comme responsables du traitement des données à caractère personnel des utilisateurs ainsi que des personnes ayant visité les pages fan hébergées, elle considère que l'administrateur de cette page, eu égard à ces caractéristiques, doit être regardé comme conjointement responsable de ces données.

Pour qualifier l'administrateur de responsable du traitement, la Cour relève qu'il participe, par son action de paramétrage, en fonction d'une audience cible ainsi que d'objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page. En particulier, l'administrateur peut demander l'obtention, et, par construction, le traitement :

• de données démographiques concernant son audience cible (tendances en matière d'âge, de sexe, de situation amoureuse et de profession) ;
• d'informations sur le style de vie et les centres d'intérêt de cette audience (informations sur les achats et le comportement d'achat en ligne ainsi que sur les catégories de produits ou de services qui l'intéressent le plus) ;
• de données géographiques lui permettant d'effectuer des promotions spéciales ou organiser des événements et de cibler son offre d'informations.

En outre, les pages fan peuvent être visitées par des personnes qui ne sont pas utilisateurs de Facebook. Dans ce cas, la responsabilité de l'administrateur est encore plus marquée puisque la simple consultation de sa page déclenche le traitement de ses données à caractère personnel.

Enfin, si les données ne sont transmises à l'administrateur que sous une forme anonymisée, l'établissement de ces statistiques repose sur la collecte préalable de données personnelles. Or, la directive n'exige pas, lorsqu'il y a une responsabilité conjointe de plusieurs opérateurs, que chacun ait accès aux données à caractère personnel concernées.

Dès lors, l'administrateur de la page ne saurait s'exonérer du respect de ses obligations en matière de protection des données, quand bien même il utiliserait la plateforme mise en place par Facebook. En revanche, la reconnaissance d'une responsabilité conjointe ne se traduit pas par une responsabilité équivalente. Le niveau de responsabilité de chacun doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d'espèce.

1) Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Il en va de même lorsque l’éditeur du site sous‑traite à des tiers la gestion de cookies mis en place pour son compte.

2) a) Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur du site doivent être considérés comme responsables de traitement.

b) Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tier qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la réglementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

1) L'article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans le cas où un utilisateur d'un réseau social en ligne consulte des sites Internet ou des applications en rapport a vec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s'inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l'opérateur de ce réseau social en ligne, co nsistant en la collecte, au moyen d'interfaces intégrées, de cookies ou de technologies d'enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l'utilisateur, en la mise en r elation de l'ensemble de ces données avec le compte du réseau social de celui - ci et en l'utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d'une de ces catégories, que ces informations conc ernent un utilisateur de ce réseau ou toute autre personne physique.

2) L'article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que lorsqu'un utilisateur d'un réseau social en ligne consulte des sites Internet ou des appli cations en rapport avec une ou plusieurs des catégories visées à l'article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l'op érateur de ce réseau social en ligne à travers des cookies ou des technologies d'enregistrement similaires.

3) Lorsqu'il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu'il active des boutons de sélection intégrés à c es sites et à ces applications, tels que les boutons « j'aime » ou « partager » ou les boutons permettant à l'utilisateur de s'identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d'utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l'activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d'un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

Dans le cadre d'opérations d'affiliation impliquant l'utilisation de traceurs de connexion afin de déterminer si l'internaute qui a accompli un acte d'achat sur un site marchand s'est connecté sur ce site à partir d'un lien figurant sur celui de l'opérateur affilié, ces traceurs ont pour seule finalité de permettre la rémunération de l'affilié par l'éditeur du site marchand, le cas échéant par l'intermédiaire d'une plateforme d'affiliation. Ils n'ont pas pour finalité de permettre ou de faciliter la communication par voie électronique au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978, dès lors qu'aucun traceur de connexion de la nature de ceux utilisés pour la facturation des opérations d'affiliation n'est nécessaire pour qu'un internaute se connecte à un site marchand à partir d'un site édité par un tiers et y effectue un achat. Ils ne peuvent davantage être regardés comme strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur, alors que la rémunération de l'affilié par l'éditeur du site marchand ne répond pas à une demande de l'utilisateur. Par ailleurs, la circonstance que certains traceurs seraient nécessaires à la viabilité économique d'un site ou d'un partenariat ne saurait conduire à les ranger dans l'une ou l'autre des exceptions prévues par l'article 82 de la loi du 6 janvier 1978. Enfin, ces traceurs n'ont, en tout état de cause, pas la même finalité que ceux permettant la mesure de l'audience des sites internet. Par suite, il doit être exigé que le consentement des utilisateurs soit recueilli préalablement au dépôt et à l'utilisation des traceurs en cause.

1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème

1) Si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l'une des deux exemptions prévues à l'article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l'utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal. En effet, déposer un cookie multi-finalités sur le terminal de l'utilisateur pour des finalités essentielles exemptées du recueil du consentement au titre des exemptions prévues à l'article 82 de la loi Informatique et Libertés, puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles dudit cookie, reviendrait à détourner les dispositions de l'article 82 de la loi Informatique et Libertés puisque le consentement de l'utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies.

2) À ce titre, la finalité de lutte contre la fraude publicitaire, comprise comme l'ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par une régie, que cette fraude soit opérée au détriment de ladite régie ou de ses partenaires publicitaires, concerne la diffusion publicitaire et n'impacte pas la fourniture d'un service de moteur de recherche aux utilisateurs. Les cookies ayant cette finalité ne remplissent aucune des conditions prévues pour les deux exceptions de l'article 82 de la loi Informatique et Libertés, dès lors notamment que la publicité n'est pas le service demandé par l'utilisateur, et nécessitent le consentement de l'utilisateur.

Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer aussi simplement et à tout moment. Dès que les personnes retirent leur consentement, une société éditrice de site web, lorsqu’elle réalise techniquement le dépôt de cookies et dispose de la maîtrise des requêtes réalisant les opérations de lecture et écriture sur ces cookies, doit s’assurer qu’il n’y a plus d’action de lecture ou d’écriture des cookies réalisée en violation du retrait du consentement de l’utilisateur, par exemple en effaçant le contenu desdits cookies ou en les rendant invalides à travers leur durée de validité.

Par la question‑réponse n°12 mise en ligne le 18 mars 2021 sur le site internet de la Commission nationale de l’informatique et des libertés (CNIL), cette autorité a fait part aux responsables de traitement et personnes concernées de son interprétation de l’article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés quant à la portée et au champ d’application des exemptions à l’obligation de consentement préalable au dépôt des traceurs de connexion, en ce qui concerne les opérations dites d’affiliation. Eu égard à sa teneur, cette prise de position, émise par l’autorité de régulation sur son site internet, est susceptible de produire des effets notables sur la situation des personnes qui se livrent à des opérations d’affiliation et des utilisateurs et abonnés de services électroniques. Il suit de là que cette question‑réponse n°12 et le refus de la CNIL de la retirer sont susceptibles de faire l’objet d’un recours pour excès de pouvoir.

Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein contre Wirtschaftsakademie Schleswig‑Holstein GmbH (C‑210/16), qu’au vu de l’objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d’un établissement national non seulement si cet établissement intervient lui‑même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que le paragraphe 1 de l’article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n°78‑17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l’article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82‑et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD.