Ces trois sites français sont visés par une plainte pour violation de la législation européenne sur la protection des données personnelles. Que risquent-ils ? Les explications de Corinne Thiérache, avocate spécialiste du droit des technologies, de la communication et de l’information au sein du cabinet Alérion.
Que prévoit la loi concernant les règles relatives au consentement quant à l’installation de témoins de connexion (cookies) ?
Le Règlement Général de la Protection des données (RGPD), entré en application le 25 mai 2018, constitue la lex generalis dans laquelle doit s’inscrire désormais tout type de traitement de données à caractère personnel. Les témoins de connexion y sont définis comme étant des « identifiants en ligne (…) qui « peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. ».
En droit français, l’article 82 de la loi n°78-17 du 6 janvier 1978 modifiée a transposé l’article 5§3 de la directive 2002/58/CE (modifiée par la directive 2009/136/CE) qui sera remplacée par le futur règlement « e-Privacy » visant à harmoniser la législation des Etats membres en matière de confidentialité des communications électroniques. Ce texte constituant la « lex specialis qui devait entrer en application en même temps que le RGPD fait toujours l’objet de lobbying et de vives critiques. Actuellement, le dernier compromis proposé le 18 septembre 2019 sous la présidence européenne finlandaise prévoit à l’article 8 du projet de règlement e-Privacy que les « informations sur les équipements terminaux des utilisateurs finaux » ne seront collectées qu’avec le consentement de ces derniers (hors cas de collecte expressément autorisés par le texte, dont la fourniture du service rendu ou la mesure d’audience des sites web).
Dans quelle mesure la CNIL peut-elle intervenir ?
La CNIL s’était déjà prononcée par le passé sur les cookies en adoptant une recommandation en date du 5 décembre 2013. Pour renforcer les exigences récentes en matière de validité du consentement, la CNIL a rendu une nouvelle délibération n°2019-093 le 4 juillet 2019 portant adoption de lignes directrices relatives aux cookies pour actualiser ses cadres de référence et notamment abroger la recommandation de 2013 devenue obsolète.
D’autres recommandations importantes sont attendues, notamment pour préciser les modalités de recueil du consentement pour les cookies. La recommandation définitive est prévue au premier trimestre 2020, avec une période d’adaptation de 6 mois supplémentaire laissée aux professionnels.
La CNIL propose des lignes directrices auxquelles les acteurs devraient expressément se conformer selon les modalités suivantes en matière de cookies :
– l’utilisateur dûment informé doit avoir consenti par une déclaration ou par un acte positif clair (la simple poursuite de la navigation sur un site ne vaut plus comme consentement pour le dépôt des cookies) ;
– le consentement recueilli doit pouvoir être prouvé ;
– les traceurs de mesure d’audience seront autorisés sans consentement sous réserve du respect de certaines conditions très strictes (durée de vie est limitée à 13 mois, et durée de conservation des informations collectées limitée à 25 mois).
Ces nouvelles règles fixent les pratiques garantissant selon la CNIL la validité du recueil du consentement.
La CNIL pourra intervenir afin de faire respecter les droits des personnes et notamment le droit d’opposition, en réalisant des missions de contrôle ou après avoir reçu des plaintes préalables d’utilisateurs.
Ces nouvelles règles ont fait l’objet d’un recours formé par deux associations portant spécifiquement sur le délai transitoire de 12 mois accordé par la CNIL pour suspendre les sanctions. Le Conseil d’Etat s’est prononcé le 16 octobre 2019 en jugeant légale la décision d’engager une concertation pour définir les nouvelles modalités pratiques d’expression du consentement en matière de publicité ciblée et de laisser aux acteurs du secteur une période d’adaptation pour s’y conformer.
Le 18 septembre 2019, 9 associations professionnelles ont saisi le Conseil d’Etat afin qu’il se prononce sur la conformité aux droits français et européen de la nouvelle délibération sur les cookies de la CNIL, et notamment sur la gestion du consentement en matière de dépôt et lecture des cookies (dont la prospection commerciale). Cette décision pourra déterminer le champ d’intervention de la CNIL concernant les cookies.
À quelles sanctions ces entreprises s’exposent-elles ?
Toute entreprise qui ne respecterait pas l’application du RGPD pourrait se voir prononcer des amendes administratives pouvant aller jusqu’à 10 ou 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent en fonction de la gravité des manquements constatés, en sus des infractions pénales pour les faits les plus graves.
Les entreprises pourront aussi être sanctionnées via un rappel à l’ordre, une injonction de se mettre en conformité (mise en demeure) ou encore une limitation temporaire ou définitive du traitement.
Quelles possibilités de réparations pour les utilisateurs de ces plateformes ?
Toute personne ayant subi un dommage (matériel ou moral) peut demander au responsable de traitement (ou au sous-traitant) réparation du préjudice subi.
A titre collectif, plusieurs utilisateurs d’une même plateforme subissant un dommage résultant de la violation des dispositions relatives à la protection des données peuvent, par l’intermédiaire d’organismes à but non lucratif, exercer une action de groupe réparatrice devant les tribunaux en vue d’obtenir des dommages et intérêts.
