Nous vous l’avions annoncé, c’est maintenant officiel : la CNIL actualise sa politique en matière de cookies et reprendra ses contrôles à l'automne.
La CNIL vient de la publier sur son site internet une note qui rappelle les règles à respecter pour le dépôt de cookies à des fins de publicité et la répartition des responsabilités entre l’éditeur du site, les régies et ses autres partenaires, dont les annonceurs.
Elle a également annoncé la reprise des contrôles à l’automne.
Face à la complexité de l’écosystème de la publicité en ligne, la CNIL avait annoncé en juillet 2016 vouloir étendre ses contrôles relatifs à la mise en œuvre des règles d’information et de consentement préalable au dépôt des cookies aux partenaires des éditeurs de site (annonceurs, régies).
À l’issue de contrôles menés auprès de 13 émetteurs de cookies tiers, et après échange avec les associations professionnelles du secteur, dont l’UDA, la CNIL a publié une mise à jour sa doctrine de contrôle. En la matière, elle privilégie désormais une approche de co-responsabilité à une approche de responsabilité distributive.
Elle détaille ainsi les rôles et responsabilités de chaque intervenant dans le dépôt des cookies et le traitement des données, selon leur destinataire.
En ce sens, elle distingue deux cas :
Cas n°1 : l’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter les données uniquement pour son compte.
Concrètement, pour vous annonceurs, en tant qu’éditeurs de site, cela signifie que vous êtes responsables, en qualité de responsable de traitement, de l’ensemble des règles d’information, de consentement préalable et d’opposition aux cookies.
Dans ce cas, pour la CNIL le contrat liant l’éditeur du site et l’émetteur de cookies (y compris s’il s’agit de cookies tiers dits « third party ») doit clairement interdire à ce dernier d’exploiter les données collectées par le biais des cookies pour son propre compte ou pour celui d’autres sociétés.
Cas n°2 : les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur.
Concrètement, pour vous annonceurs, cela signifie :
- qu’en tant qu’émetteur des cookies sur un site tiers (par exemple, publicité affichée sur un site de presse en ligne), vous êtes susceptibles, selon votre implication eu égard à la politique de cookies placés via vos publicités, d’être considérés comme responsables de traitement et donc responsables de l’ensemble des règles d’information, de consentement préalable et d’opposition ;
- qu’en tant qu’éditeur de vos sites, vous êtes sous-traitants et donc principalement responsables de la mise à disposition d’une information complète et des moyens d’opposition aux cookies. Dans vos relations avec le bénéficiaire du cookie vous êtes également responsables du recueil du consentement préalable. Ce cas se rencontrerait en pratique si vous donnez accès à votre site à un tiers sans être concerné par l’utilisation qu’il fait des données (peu probable).
En tout état de cause, il vous devient essentiel d’encadrer contractuellement vos relations et responsabilités afin de garantir que l’ensemble de ces règles soit appliqué de manière effective.
Un délai supplémentaire avait été laissé par la CNIL aux acteurs du secteur de la publicité pour une meilleure application de la règlementation sur les cookies, particulièrement la règle relative au consentement préalable au dépôt.
La CNIL a annoncé que les contrôles reprendraient à l’automne.
– mai 2017 –
Pour aller plus loin :
- Note de la CNIL "Publicité en ligne : la CNIL précise les règles à respecter à l’issue de ses contrôles", 23 mai 2017
- Délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978
- Notre boîte à outils Cookies
- Projet de règlement européen E-Privacy : vers un nouveau renforcement des règles sur les cookies et le marketing direct ?